Server für LAN und Internet 366 Themen, 10.704 Beiträge

Firewall Konzepte ProxyPaketfilter

Minesweeper XL / 3 Antworten / Flachansicht Nickles

Hallo,

ich habe offensichtlich einen wichtigen Teil in der Welt der Firewall Konzepte nicht verstanden.
Ich versuche einen Linux Rechner mit zwei Interfaces als Gateway/Firewall einzurichten.
In die Welt von IPtables unter Linux hab ich mich schon ein gutes Stück reingearbeitet.
Der Proxy squid läuft schon problemlos.
Allerdings scheiter ich zur Zeit an dem Verständnis.
Des öfteren bin ich in den vergangenen Tagen auf Artikel gestoßen, die beim Einrichten einer Firewall zwei "grundsätzlich" verschiedene Konzepte klar voneinander trennen. Entweder Proxy oder Paketfilter.
Jetzt meine simple Frage: Gibt es etwas das gegen beides spricht?

Ich bin durch das Konzept an einen Proxyserver auf dem Firewallrechner gebunden. Nun wollen meine Clients nicht nur http sondern auch andere Dienste in Anspruch nehmen. Was mach ich also mit Port-Bereichen die Ausserhalb der squid-Zuständigkeit liegen?
Ist es da verwerflich das Forwarding mit Regeln zu versehen?

Gruß
Minesweeper XL

bei Antwort benachrichtigen
xafford Minesweeper XL „Firewall Konzepte ProxyPaketfilter“
Optionen

Du liegst richtig und gleichzeitig falsch :o)

Ein Paketfilter filtert durchlaufende Pakete, welche zwischen den zei (oder mehr) Schnittstellen "forwarded" werden. Bei einem Proxy wird nicht "forwarded", sondern die Anfragen werden auf Anwendungsebene neu erstellt.
Du hast natürlich recht damit, daß der Proxy anwendungsspezfisch arbeitet, er also an fremden Protokollen scheitert (sofern es sich nicht um einen Socks-Proxy handelt). Diese Anfragen wollen ja aber auch behandelt werden. Jetzt gibt es aber einen ben Fallstrick in der Konfiguration. Angenommen Du hast einen Gaeway, der gleichzeitig als Router / Gateway mit Firewall und als Proxy für HTTP dient. Jetzt willst Du natürlich, daß die User über den Proxy gehen. Hierzu mußt Du aber dafür sorgen, daß die Anfragen, welche über Proxy laufen sollen nicht auch einfach geroutet werden können, wenn ein User z.B. den Proxy für HTTP im Browser nicht einträgt, denn dann hat er nicht den Schutz bzw. die Beschränkung durch den Proxy. Du mußt also dafür sorgen, daß die Anfragen die für den proxy sind "forwarded" werden über den Paketfilter. Dies ist auch eigentlich genau die Aussage, die Du in Frage stellst: "Proxy und Paketfilter schließen sich aus". Allerdings dürfte diese Aussage protokollabhängig gemeint sein.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen