SuSeFirewall2

[BaSe]

SuSeFirewall2 - Strategie?

Hallo,

ich brauche mal einige Tips da ich mich nicht so gang über meine Strategie entscheiden kann.

Wir haben bei uns in der Firma eine Suse9.2 die als Sreening SuseFirewall2 mit Squid und postix(als mta) läuft, d.h der MTA leitet die Mails an unsere Mailserver weiter der im internen LAN steht.

Da bei uns jetzt ein Hardwareaustausch ansteht möchte ich natürlich auf die Suse10.2(oder Opensuse 10.2) wechseln, kann mich aber nicht ganz so entscheiden was es die Flexibilität der FW angeht.

Einerseits habe ich ja die Möglichkeit wieder eine Screening Firewall mit SuseFirewall2 über die conf Dateien zu konfigurieren, laut einigen Stimmen wären aber nachträgliche Anspassungen über iptables etwas aufwenig da die Regelsätze der Susefw2 "aufwendig" sind , z.b wenn ich nachträglich VPN zu einer bestimmten IP aus dem internen LAN zulassen müsste das per iptables anzupasst werden da, soweit ich weiß das nicht über die conf Dateien geht ?

Die andere Möglichkeit wäre mir selber ein FW Script zuschreiben um meine eigenen Regeln zu erstellen, dann wären solche Anpassungen natürlich einfacher, d.h das SusEFW2 ausschalten und mein Script verwenden.

Was ich mich noch Frage ist ob es vielleicht nicht sinniger wäre an die Firewall an 3tes Bein zu hängen um den Squid und den MTA in die DMZ zu verschieben, dazu brauche ich dann natürlich eine 2te Hardware, bringt natürlich gewisse Sicherheitsvorteile ! Blöderweise ist mein Budget nicht sehr groß, d.h eine 2te neue Maschine bekomme ich wohl nicht genehmigt

Vielleicht könnt ihr mit einige Tips geben .

 

[spoensche]

du kannst die suse firewall (auch vpn) über yast->system->sysconfig-editor einstellen. dort stehen wesentlich mehr einstelloptionen zu verfügung und damit kannst du die firewall auch ohne großen aufwand auf deine bedürfnisse einstellen.

 

[Gast1]

Die andere Möglichkeit wäre mir selber ein FW Script zuschreiben um meine eigenen Regeln zu erstellen, dann wären solche Anpassungen natürlich einfacher, d.h das SusEFW2 ausschalten und mein Script verwenden.

Wenn Du eigene Regeln zusätzlich einbauen willst, dann solltest Du Dir die Option FW_CUSTOMRULES ansehen.

Die SuSEfirewall2 ist IMHO eines der wirklich guten iptables-Frontends und vor allem ist sie sehr gut dokumentiert und ins System integriert.

/etc/sysconfig/SuSEfirewall2
/usr/share/SuSEfirewall2/services/TEMPLATE
/usr/share/doc/packages/SuSEfirewall2
/usr/share/doc/packages/SuSEfirewall2/EXAMPLES
/usr/share/doc/packages/SuSEfirewall2/EXAMPLES.html
/usr/share/doc/packages/SuSEfirewall2/FAQ
/usr/share/doc/packages/SuSEfirewall2/FAQ.html
/usr/share/doc/packages/SuSEfirewall2/LICENCE
/usr/share/doc/packages/SuSEfirewall2/README
/usr/share/doc/packages/SuSEfirewall2/README.html
/usr/share/doc/packages/SuSEfirewall2/SuSEfirewall2.sysconfig
/usr/share/doc/packages/SuSEfirewall2/susebooks.css
/usr/share/susehelp
/usr/share/susehelp/meta
/usr/share/susehelp/meta/Manuals
/usr/share/susehelp/meta/Manuals/Productivity
/usr/share/susehelp/meta/Manuals/Productivity/SuSEfirewall2.desktop
/var/adm/fillup-templates/sysconfig.SuSEfirewall2

Alleine die Kommentare in /etc/sysconfig/SuSEfirewall2 sind sehr aufschlußreich und der in Yast integrierte 'Editor für /etc/sysconfig-Dateien' ermöglicht eine sehr bequeme und dennoch vielseitige Anpassung der Konfiguration.

Greetz,

RM