Kategorien
Anwendungen Betriebssysteme

Erweiterte Konfiguration von IPFire

Als kleine, zuverlässige und einfach zu konfigurierende Firewall die auch einem schon betagten Rechner nochmal zu Amt und Würde verhilft, ist IPFire eine gute Wahl.

Leider hat die auf den ersten Blick einfache Konfiguration den Nachteil, daß manche Szenarien über die Oberfläche nicht abgebildet werden können, weil für die gewünschte Funktionalität keine entsprechenden Konfigurationsdialoge zur Verfügung stehen.

In diesem Fall können die Einstellungen der Firewall aber mittels SSH-Zugang in der Datei „/etc/sysconfig/firewall.local“ vorgenommen werden.

Zugriff von rot auf grün anhand der IP-Adressen

Den Zugriff eines Rechners aus dem roten Netz auf einen Rechner im grünen Netz kann normalerweise mittels Portforwarding erledigt werden. In der Oberfläche ist es allerdings nicht möglich, den Quell- oder Zielport für verschiedene IP-Adressen mehrfach zu vergeben, so daß das Szenario, daß ein Rechner aus dem roten Netz auf den gleichen Port auf mehreren Rechnern im grünen Netz zugreifen darf, nicht konfigurierbar ist.

Die Zuweisung über die „firewall.local“ kann wie folgt vorgenommen werden

/sbin/iptables -A CUSTOMFORWARD -s <Quell-IP> -d <Ziel-IP> -i red0 -o green0 -j ACCEPT

eine Einschränkung der Ports ist über die Parameter „–sport <Quell-Port(s)>“ sowie „–dport <Ziel-Port(s)“ möglich, bei denen als Werte entweder ein einzelner Port oder ein Bereich angegeben werden kann.

Nach außen ursprüngliche IP beibehalten

Da NAT ein integraler Bestandteil von IPFire ist, kann diese(s) auch nicht abgeschaltet werden. Es besteht aber die Möglichkeit, einem Paket nach Behandlung durch IPFire wieder seine ursprüngliche Quell-IP zuzuweisen:

/sbin/iptables -t nat -I CUSTOMPOSTROUTING -p all -s <Quell-IP> -j SNAT --to-source <Quell-IP>

Für jede Regel, die im Bereich „start“ der „firewall.local“ eingetragen wird, sollte eine zugehörige Lösch-Regel im Bereich „stop“ hinterlegt werdem.

Einen guten Einstieg in das Thema „iptables“ bietet das „IPTABLES HOWTO“ von Dirk Bender, etwas ausführlicher ist „Linux Firewalls Using iptables“ von Linux Home Networking.

3 Antworten auf „Erweiterte Konfiguration von IPFire“

Meiner Meinung nach „Best Practice“:
1.) ./firewall.local stop
2.) Bearbeitung wie in diesem Artikel beschrieben
3.) ./firewall.local start

Genau das wäre auch mein Vorschlag (gewesen). firewall.local ist ein normales Skript und versteht die Parameter start, stop sowie reload.

Danke für den Artikel. Mir fehlt nur noch die Information, wie ich die editierte firewall.local einlese. Also welchen Dienst ich im Nachgang neustarten muss.

Kommentar schreiben