Nobody Geschrieben 21. August 2003 Geschrieben 21. August 2003 Hallo zusammen, ich sucher schon seit längerer Zeit eine Firewall. Ich habe ein LAN und einen Server (W2K). Nun möchte ich eine Firewall auf dem Server, die mit mehreren NW-Karten umgehen kann. Um getrennte Rules für LAN und WAN zu defineren. Tiny, Outpost und ZoneAlarm hab ich getestet. Haben mir aber weniger gefallen. Zu wenige Einstellmöglichkeiten. Checkpoint in der Firma lässt sich super bedienen. Welcher Port wird von wo gedropt. Gutes Logging. Remote-Steuerung vom Client aus. Und nach der Installation war der Firewall offen. Die 3 anderen liefen immer so ab, installieren, Neustart, Monitor tragen. Da der Server nur remote steuerbar ist Und bevor ich das nächste mal den Monitor durch Haus trage, sollte es für die richtige FW sein. Muss auch nicht kostenlos sein, aber auch keine 6.000$ wie FW-1 kosten. Vielleicht sollte ich mal fragen, wenn wir unseren FW austauschen, vielleicht kann die alte Lizens ja weiterwandern, hach *träum CU Nobby Zitieren
FALc Geschrieben 22. August 2003 Geschrieben 22. August 2003 Hallo, Linux wäre die Lösung! - iptables Zitieren
Nobody Geschrieben 22. August 2003 Autor Geschrieben 22. August 2003 Linux ist keine Lösung, weil der Server W2K ist. Es ist auch kein FirmenLAN, sondern privat. Die Desktopfirewalls sind meiner Erfahrung nach etwa so RULE Application/manchmal Port DENY In/Out. Irgendwie muss man doch sagen können , Port VNC(weiss jetzt nicht welcher) Richtung LAN in beide Richtungen und Richtung Internet aber nicht. Aber bei Desktopfirewalls heißt Out, vom Rechner weg (Bei single-PC ist das ja ausreichend), aber wie mache ich das dem Server klar, von wo er es passieren lassen soll, und von wo er es droppen soll. z.B. Nachrichtendienst, wollte ich von aussen blockieren aber intern erlauben. Irgendwie wollen die Firewalls das nicht. @Firma : Wir stellen wegen einem Wort um (Konzernvorschrift). Und da Lizensen in DT. weiterverkauft werden können, muss ich in der Abteilung mal liebäugeln. Zitieren
hades Geschrieben 22. August 2003 Geschrieben 22. August 2003 Original geschrieben von Nobody z.B. Nachrichtendienst, wollte ich von aussen blockieren aber intern erlauben. Irgendwie wollen die Firewalls das nicht. Wenn Du das konfigurieren willst, brauchst Du mehrere Regeln. Einmal die, die das fuer das interne Netz erlauben und auf der anderen Seite die, die nach draussen blockieren. Ein Beispiel fuer die Nachrichtendienst-Regeln waere: Richtung: in Port lokal: 135 Protokoll: TCP+UDP Absenderadressen: 192.168.0.1-192.168.0.254 Aktion: permit Richtung: out Port remote: 135 Protokoll: TCP+UDP Zieladressen: 192.168.0.1-192.168.0.254 Aktion: permit Richtung: in/out Ports lokal und remote: 137, 138 Protokoll: TCP+UDP Absender- und Zieladressen: 192.168.0.1-192.168.0.254 Aktion: permit Richtung: in Port lokal: 139 Protokoll: TCP+UDP Absenderadressen: 192.168.0.1-192.168.0.254 Aktion: permit Richtung: out Port remote: 139 Protokoll: TCP+UDP Zieladressen: 192.168.0.1-192.168.0.254 Aktion: permit Richtung: in Port lokal: 445 Protokoll: TCP+UDP Absenderadressen: 192.168.0.1-192.168.0.254 Aktion: permit Richtung: out Port remote: 445 Protokoll: TCP+UDP Zieladressen: 192.168.0.1-192.168.0.254 Aktion: permit Richtung: in Port lokal: 135 Protokoll: TCP+UDP Absenderadressen: any Aktion: deny Richtung: out Port remote: 135 Protokoll: TCP+UDP Zieladressen: any Aktion: deny Richtung: in/out Ports lokal und remote: 137, 138 Protokoll: TCP+UDP Absender- und Zieladressen: any Aktion: deny Richtung: in Port lokal: 139 Protokoll: TCP+UDP Absenderadressen: any Aktion: deny Richtung: out Port remote: 139 Protokoll: TCP+UDP Zieladressen: any Aktion: deny Richtung: in Port lokal: 445 Protokoll: TCP+UDP Absenderadressen: any Aktion: deny Richtung: out Port remote: 445 Protokoll: TCP+UDP Zieladressen: any Aktion: deny Zitieren
Freaka Geschrieben 25. August 2003 Geschrieben 25. August 2003 Also ich kann nur http://www.kerio.com/kerio.html empfehlen ist recht gut und einfach. Man kann ein Regelwerk erstellen fast wie bei den richtigen. Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.