Ein kommentiertes Beispiel für FWconf

Im folgenden wird ein Beispiel für eine Firewall-Konfiguration mit FWconf vorgestellt und erläutert.

Beschreibung des Netzwerkes

Das Beispiel bezieht sich auf ein Netzwerk mit einem DSL Anschluss; etwa ein privates Netzwerk oder das Netz einer kleinen Firma. Der Internet-Zugang wird über PPPoE aufgebaut; es gibt nur eine öffentlich geroutete IP-Adresse, die zudem dynamisch vergeben sein kann. Im internen Netz werden private IP-Adressen verwendet. Der Router zum DSL-Provider ist gleichzeitig die Firewall-Maschine. Intern gibt es zwei Subnetze, das LAN mit den Arbeitsplatzrechnern und Druckern sowie eine DMZ mit Internet-Gateway-Diensten.

Aus dem Internet sind VPN-Verbindungen in das Netz über IPSEC möglich.

Firewall-Konfigurationsdatei

# Firewall-Konfiguration fuer privaten Home DSL Anschluss

#
#       Internet -----------  Firewall  ------  LAN (NASbox, Drucker, PCs)
#           |                     |                    [10.1.1.0/24]
#          VPN                   DMZ
#   [192.168.198.0/24]    [192.168.178.0/24]
#


# Netzwerktopologie
group EXT        ppp0
group LAN        eth0 10.1.1.0/24
group DMZ        eth1 192.168.178.0/24
group VPN        ipsec+ 192.168.198.0/24

# DMZ
group MailGW     eth1 192.168.178.10
group WebProxy   eth1 192.168.178.12
group DNSserver  eth1 192.168.178.14
group Webserver  eth1 192.168.178.16

# LAN
group NASbox     eth0 10.1.1.20
group Drucker    eth0 10.1.1.24 10.1.1.25


# Dienste

service Ping        echo-request/icmp
service Traceroute  33435:33524/udp
service IPSEC       500/udp 50/prot 51/prot
service DNS         53/udp 53/tcp
service WWW         80/tcp 443/tcp
service Mail        smtp/tcp pop3/tcp imap2/tcp
service CIFS        139/tcp 445/tcp


# ==========================================================
# Masquerading der ausgehenden Verbindungen
masq   ALL->EXT        ALL

# ==========================================================
# Externe Zugaenge

# VPN
accept EXT->Local      IPSEC
accept VPN->DNSserver  DNS
accept VPN->NASbox     CIFS
accept VPN->MailGW     Mail
accept VPN->WebProxy   3128/tcp
accept VPN->Drucker    9100/tcp

# Webserver
accept EXT->Webserver             WWW
dnat   EXT->Local=>192.168.178.16 WWW

# Mailserver
accept EXT->MailGW                smtp/tcp
dnat   EXT->Local=>192.168.178.10 smtp/tcp

# ==========================================================
# Traffic der Firewall
accept Local->DMZ  ALL
accept Local->EXT  ALL
accept LAN->Local  ssh/tcp
accept VPN->Local  ssh/tcp

# ==========================================================
# DMZ Traffic
accept DMZ->EXT ALL

# ==========================================================
# LAN Traffic

accept LAN->ALL       ssh/tcp Ping Traceroute
accept LAN->DNSserver DNS
accept LAN->WebProxy  3128/tcp
accept LAN->MailGW    Mail

Beschreibung des Regelwerks

NAT-Regel

Die Masquerading-Regel sorgt dafür, dass bei erlaubtem Traffic vom LAN ins Internet die Quelladresse der Verbindung auf die öffentliche IP-Adresse des Routers umgeschrieben wird.

Einkommende Verbindungen

Von außen werden VPN Verbindungen zum Router zugelassen. Innerhalb des VPN es erlaubt, DNS-Abfragen an den DNS-Server und CIFS Verbindungen zum NAS Server zulässig. Es dürfen E-Mails über das Mailgateway versendet werden. Der Zugriff auf das WWW über den HTTP Proxy sowie das Drucken auf die definierten Drucker mit JetDirect Protokoll (9100/tcp) sind ebenfalls erlaubt.

Über das öffentliche Internet dürfen Webseiten abgerufen werden. Diese Verbindungen werden an den DMZ Webserver weiter geleitet. Ebenso sind eingehende E-Mails über SMTP erlaubt; diese werden an das E-Mail Gateway weiter geleitet.

Traffic des Routers/Firewall-Rechners

Der Router darf auf das gesamte DMZ Netz sowie das Internet zugreifen. Zugriff auf den Router sind aus dem LAN und dem VPN per SSH möglich.

Ausgehende Verbindungen

Aus der DMZ dürfen beliebige Verbindungen ins Internet getätigt werden.

Aus dem LAN darf nur per SSH, Ping und Traceroute auf beliebige Rechner zugegriffen werden. DNS Abfragen dürfen nur an das DNS Gateway adressiert werden. Zugriff auf das WWW ist nur über den Proxy, ausgehende E-Mails nur über das E-Mail Gateway möglich.