[WLANtalk] Optimale Firewall-Konfiguration für Gateways?
Bernd Kalbfuss-Zimmermann
kalbfuss at gmx.net
So Aug 17 10:08:55 CEST 2014
Ok, sieht so aus als würde mein VPN-Anbieter ebenfalls e-Mailverkehr blocken
- zumindest ausgehenden Verkehr via SMTP (siehe hier
<https://community.cyberghostvpn.com/index.php/Thread/5271-Problem-sending-m
ail-through-google-apps-imap-while-connected-to-VPN/> ). Ich vermute mal,
dieses Vorgehen ist unter VPN-Anbietern üblich, um Spammern das Handwerk zu
legen. Irgendwie verständlich, aber dennoch ärgerlich. Warum IMAP ebenfalls
geblockt wird ist mir noch nicht klar. Vermutlich gibt es ähnliche Gründe.
D.h. wir werden unseren Benutzern nicht ohne weiteres e-Maildienste zur
Verfügung stellen können, so lange wir ausgehenden Internetverkehr über VPN
tunneln. Nicht gut.
LG,
Bernd
-----Ursprüngliche Nachricht-----
Von: WLANtalk [mailto:wlantalk-bounces at freifunk.net] Im Auftrag von Bernd
Kalbfuss-Zimmermann
Gesendet: Samstag, 16. August 2014 14:13
An: 'WLAN Layer 8'
Betreff: Re: [WLANtalk] Optimale Firewall-Konfiguration für Gateways?
Hallo Marc-Andre,
vielen Dank für den Link! Das hat mir schon mal weitergeholfen. Nach etwas
Recherche habe ich gelernt, dass die Werte in den Klammern keine
Portfreigaben sind, sondern es sich um Paket- und Byte-Zähler handelt. Diese
werden von iptables-save mit abgespeichert, sind aber vermutlich irrelevant.
Entsprechend sind die Werte in der Münster-Anleitung auch auf [0:0] gesetzt.
D.h., es gibt überhaupt keine Einschränkungen bei den Ports - weder in der
Konfiguration aus Münster noch in der Konfiguration aus Hamburg. Jetzt frage
ich mich natürlich, weshalb ich meinen Mailanbieter aus dem Freifunknetz
heraus nicht über IMAP erreichen kann. Vielleicht liegt es wie in eurem Fall
am VPN-Anbieter? Werde ich bei Gelegenheit testen.
LG,
Bernd
-----Ursprüngliche Nachricht-----
Von: WLANtalk [ <mailto:wlantalk-bounces at freifunk.net>
mailto:wlantalk-bounces at freifunk.net] Im Auftrag von Marc-Andre Alpers
Gesendet: Samstag, 16. August 2014 11:06
An: <mailto:wlantalk at freifunk.net> wlantalk at freifunk.net
Betreff: Re: [WLANtalk] Optimale Firewall-Konfiguration für Gateways?
Moin!
Ich kenne mich zwar mit iptables auch nicht so aus. Ich habe mich an der
Anleitung von Freifunk Münster gehalten, die haben ihre Rules anders
gestaltet. Deren Setup findest du hier:
<https://freifunk-muenster.de/wiki/doku.php?id=technik:gateway>
https://freifunk-muenster.de/wiki/doku.php?id=technik:gateway
Ob es überhaupt sinnvoll ist was einzuschränken, weiß ich nicht. Die einzige
Einschränkung die es gibt kommt durch unseren VPN Anbieter. Dieser blockt
Port
25 um Spam zu verhindern. Nutzer müssen für SMTP auf Port 465 mit SSL
(T-Online) oder 587 mit TLS ausweichen.
Am 16.08.2014 um 10:07 schrieb Bernd Kalbfuss-Zimmermann:
> Hallo Freifunker,
>
>
>
> seit längerem quält mich ein Thema, von dem ich leider allzu wenig
verstehe:
> Die Firewall-Konfiguration auf unseren Gateways. Wir nutzen hier im
> Dreiländereck (CH-DE-FR) Gluon. Vor kurzem habe ich das erste Gateway
> für unsere junge Freifunk-Gemeinde eingerichtet. Die
> Firewall-Konfiguration habe ich dabei von den Hamburgern
> < <http://wiki.freifunk.net/Freifunk_Hamburg/Gateway>
http://wiki.freifunk.net/Freifunk_Hamburg/Gateway> übernommen:
>
>
>
> # Generated by iptables-save v1.4.14 on Sun Mar 24 14:14:50 2013
>
> *filter
>
> :INPUT ACCEPT [273:40363]
>
> :FORWARD ACCEPT [0:0]
>
> :OUTPUT ACCEPT [194:28568]
>
> COMMIT
>
> # Completed on Mon Mar 25 19:41:40 2013
>
> # Generated by iptables-save v1.4.14 on Mon Mar 25 19:41:40 2013
>
> *mangle
>
> :PREROUTING ACCEPT [286:41734]
>
> :INPUT ACCEPT [273:40363]
>
> :FORWARD ACCEPT [0:0]
>
> :OUTPUT ACCEPT [194:28568]
>
> :POSTROUTING ACCEPT [194:28568]
>
> -A PREROUTING -i br-ffhh -j MARK --set-xmark 0x1/0xffffffff
>
> COMMIT
>
> # Completed on Mon Mar 25 19:41:40 2013
>
> # Generated by iptables-save v1.4.14 on Mon Mar 25 19:41:40 2013
>
> *nat
>
> :PREROUTING ACCEPT [15:1459]
>
> :INPUT ACCEPT [2:88]
>
> :OUTPUT ACCEPT [1:74]
>
> :POSTROUTING ACCEPT [1:74]
>
> -A POSTROUTING -o mullvad -j MASQUERADE
>
> COMMIT
>
>
>
> Wenn ich das richtig verstehe, dann ist für den ausgehenden
> Internetverkehr primär die Sektion *nat verantwortlich, welche auch
> die striktesten Portbegrenzungen setzt. Woher die Bereiche kommen ist mir
jedoch nicht klar.
> Auch die Hamburger schweigen sich hierzu leider aus. So habe ich z.B.
> schon festgestellt, dass der IMAP-Port 143 außerhalb des freigegebenen
> Bereichs liegt :-(
>
>
>
> Bevor ich jetzt anfange, willkürlich an den Freigaben herumzuschrauben
> möchte ich fragen, ob sich schon mal jemand intensiv mit diesem Thema
> auseinandergesetzt hat. Was sollte die Firewall alles unterbinden?
> Welche Dienste auf welchen Ports sollten hingegen verfügbar gemacht
> werden? Für Tipps und Anregungen wäre ich dankbar!
>
>
>
> LG,
>
>
>
> Bernd
>
>
>
> _______________________________________________
> WLANtalk mailing list
> <mailto:WLANtalk at freifunk.net> WLANtalk at freifunk.net
> Abonnement abbestellen? ->
> <http://lists.freifunk.net/mailman/listinfo/wlantalk-freifunk.net>
http://lists.freifunk.net/mailman/listinfo/wlantalk-freifunk.net
>
> Weitere Infos zu den freifunk.net Mailinglisten und zur An- und
> Abmeldung unter <http://freifunk.net/mailinglisten>
http://freifunk.net/mailinglisten
>
--
Mit freundlichen Grüßen
Marc-Andre Alpers
Verschlüsselte Mails bevorzugt. Mit S/MIME oder PGP KeyID: 0x5EE93193 Wehrt
euch gegen Überwachung und Vorratsdatenspeicherung!
_______________________________________________
WLANtalk mailing list
<mailto:WLANtalk at freifunk.net> WLANtalk at freifunk.net
Abonnement abbestellen? ->
<http://lists.freifunk.net/mailman/listinfo/wlantalk-freifunk.net>
http://lists.freifunk.net/mailman/listinfo/wlantalk-freifunk.net
Weitere Infos zu den freifunk.net Mailinglisten und zur An- und Abmeldung
unter <http://freifunk.net/mailinglisten> http://freifunk.net/mailinglisten
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.freifunk.net/pipermail/wlantalk-freifunk.net/attachments/20140817/20d4d188/attachment.html>
Mehr Informationen über die Mailingliste WLANtalk