Werbung
Packet Filter Fi re wall
Bei spiel zur Kon fi gu ra ti on ei nes Fil ters für die Frei ga be der Fi re wall für das Web-Browsen
Zu erst wird das Ver hal ten nach letz ter Fil ter re gel auf »Ver wer fen« ein ge stellt.
Um Sei ten des World Wide Web dar stel len zu kön nen, müs sen die IP-Pa ke te zwei er Dien ste durch die Fi re -
wall ge lei tet wer den: DNS zur Na mens auf lö sung und der »html-Da ten strom«. Wird eine URL in den
Web-Browser ein ge ge ben, so löst der Browser per DNS-Ab fra ge den Klar na men (z. B. www.Te le kom.de) in
eine IP-Adres se auf (in die sem Bei spiel 217.160.73.88) auf. Da nach stellt der Browser zu die ser IP-Adres se
per TCP/IP min de stens eine Ver bin dung her. Da raus lei tet sich fol gen de Fil ter kon fi gu ra ti on ab:
Für DNS (Pro to koll na me: do main) ist das UDP- und das TCP-Pro to koll auf den Ziel-Port 53 ei nes be lie bi gen
DNS-Ser vers von je dem un pri vi le gier ten Port frei zu ge ben, ent spre chen des gilt für den Rück weg.
Für http-Re quests ist für das TCP-Pro to koll über das WAN-In ter fa ce von un pri vi le gier ten Ports der Zu griff auf
be lie bi ge Ziel adres sen für den Port 80 zu er mög li chen. Der Rück weg für Ant wort pak te muss ent spre chend
frei ge ge ben wer den: Von be lie bi gen IP-Adres sen aus dem In ter net (0.0.0.0 / 0) von Port 80 auf un pri vi le gier -
te Ports der WAN-Adres se der Te le fon an la ge.
Bei spiel zur Kon fi gu ra ti on ei nes Port map ping – Ein tra ges für die Fi re wall für das ssh – Pro to koll
Das ssh Pro to koll (se cu re shell) wird u. a. ver wen det, um Web ser ver zu ad mi nis trie ren oder um VPN – Tun -
nel zu rea li se ren. Per ssh – Pro to koll wer den die Da ten ver schlüs selt über tra gen (das ist für die Kon fi gu ra ti -
on der Fi re wall al ler dings ohne Be lang). Üb li cher wei se wird der Port 22 des Pro to kolls TCP ver wen det. Im
Bei spiel hat der Web ser ver in Ih rem LAN die IP-Adres se 192.168.1.42 fest zu ge ord net. Für die sen Web ser -
ver in Ih rem LAN soll der Ad mi nis tra tions-Zu griff per ssh aus dem In ter net er mög licht wer den. Be ach ten Sie
bit te, dass Sie äqui va len te Fil ter für den Port 80 be nö ti gen, wenn die In hal te des Web ser vers aus dem In ter -
net zu gäng lich sein sol len
Ba sie rend auf die sen In for ma tio nen müs sen bei ei nem vor ein ge stell ten »Ver hal ten nach letz ter Fil ter re gel:
Dis card« drei Re geln für die Fi re wall er stellt wer den:
ssh_MAP:
Die ser Fil ter lei tet ein tref fen de Pa ke te von be lie bi gen IP-Adres sen und un pri vi le gier -
ten Ports auf die in ter net sei ti ge IP-Adres se des Rou ter teils der Te le fon an la ge wei ter
an den Rech ner mit der IP-Adres se 192.168.1.42, der Port 22 wird bei be hal ten.
ssh_WAN_in:
Die ser Fil ter er laubt ein tref fen den Pak ten von be lie bi gen IP-Adres sen und un pri vi le -
gier ten Ports auf die in ter net sei ti ge IP-Adres se des Rou ter teils der Te le fon an la ge.
24
Werbung
