Zwei Linux-Firewalls "hintereinander" laufen lassen

#1 Hallo zusammen,

ich bin auf dem Gebiet nicht all zu fit, deshalb meine Frage:

macht es Sinn, zwei Firewalls so zusagen "in Reihe" zu schalten?
Die erste, zum internen Netz hin würde dann mit nem Proxy laufen, als Application Layer und die zweite, nach außen stehende, als Paketfilter.
Oder ist das Unsinn??

Wenn man das aber so machen würde, dann müsste doch die interne Firewall als Standard-Gateway die externe eingetragen haben, umgekehrt aber eine statische Route bestehen oder?

Genauso müssen auch alle statischen Routen, die bisher in der Firewall eingetragen sind, auch in die zweite eingetragen werden?!?

Bitte klärt mich auf wenn ich das falsch sehe...

Dank euch!
Gruß, toady

#2 Hallo today,

ist alles so weit richtig. In vielen Umgebungen findet man zwei Firewall Instanzen. Meistens sind es dann aber Firewalls von verschiedenen Herstellern, um evt. schwächen auszugleichen.

Viel Spaß beim Basteln!

Gruß Spike
__________
Wenn wir bedenken, dass wir alle verrückt sind, ist das Leben erklärt.
(Mark Twain)

#3 Hallo Spike,

erstmal danke für die Antwort!!

Ich hatte mir so gedacht, zwei Rechner zu nehmen aber auf beiden SuSE zu installieren.

Wenn du schreibst, ich soll die zwei von verschiedenen Herstellern nehmen, bleibt mir ja eigentlich nur ne Hardwarefirewall, weil bei Linux die Firewall (iptables) doch unabhängig von den Distributionen ist oder??

Schönen Tag!!
Gruß,
toady

#4

Zitat

toady postete
Wenn du schreibst, ich soll die zwei von verschiedenen Herstellern nehmen, bleibt mir ja eigentlich nur ne Hardwarefirewall, weil bei Linux die Firewall (iptables) doch unabhängig von den Distributionen ist oder??
toady

Grundsätzlich schon, aber eine andere Disrtibution zu verwenden wäre auch schon mal nicht schlecht. Vor allem im Hinblick dessen das sich SuSe nicht unbedingt als Router eignet, weil es selbst in der Minimalinstallation stark überladen ist.

Ich würde dir als Router Slackware mit einem 2.4.X Kernel empfehlen. Ist viel übersichtlicher und es lässt sich auch viel einfacher der Kernel selbst kompilieren, da er nicht so stark "verpatched" wie der von Suse ist.

Selbstkompilieren ist desswegen wichtig weil bei den neuesten Iptables-Patches einige seeehr interessante Features dabei sind mit denen man einen äußerst mächtigen Router bauen kann.

Hab selber einen Slackware-Router im Einsatz und bin vollauf zufrieden. :-)

J.G.

#5 Hi.

Hab bei uns im Netz das folgendermaßen eingerichtet:

FW (192.168.78.x Intern / 192.168.43.xx DMZ)

SBS 2003 (192.168.78.x Extern / 192.168.2.x Intern)

Sind also quasi 2 DMZ vorhanden. Auf dem SBS ist die interne FW (Filter ) installiert.
Meiner Meinung nach ist es nicht unbedingt sinnvoll, 2 Firewalls vom selben Typ hintereinander zu schalten, wie schon Spike20 gesagt hat, evtl. Schwächen ausgleichen bzw. ein anderes FW-System.

#6 Also 2 finde ich nur sinnvoll wenn ein Netz dazwischen liegt was von jeder Seite unterschiedliche Zugriffsrechte hat/haben muss, so wie [MaxXx] das gemacht hat. Ansonsten, naja, 2 Distributionen? Einfach unnoetige Dienste beenden und die Ports dicht machen, das sollte eigentlich reichen.
Und wenn ein Bug in z.B. SSH rauskommt, wirds den sowohl fuer Slack als auch Debian etc. geben.

#7 Hallo zusammen,

danke für eure Antworten!! Sorry, ich war ein paar Tage weg.

In Zukunft soll da auch ne DMZ hin, in die dann die Outlook Webaccess Server rein sollen.

Sagt mal, was haltet ihr von IPCop??

Gruß,
toady