diff --git a/SRV-DOC-Inhalt.tex b/SRV-DOC-Inhalt.tex index 7bba60a..eac9a0d 100644 --- a/SRV-DOC-Inhalt.tex +++ b/SRV-DOC-Inhalt.tex @@ -131,9 +131,10 @@ Anschließend werden die vorgenommenen Einstellungen aktiviert. # sysctl --system \end{lstlisting} -\paragraph{iptables} -Es wurden Regeln definiert, welcher Datenverkehr für den VPN-Server und VPN-Clients erlaubt sind. +\paragraph{Firewallregeln} +Es wurde definiert, welcher Datenverkehr für den VPN-Server und VPN-Clients erlaubt ist. Diese werden jetzt über Filterregeln mit \texttt{iptables} beziehungsweise \texttt{ip6tables} umgesetzt. + Als Standardpolicy wird \texttt{DROP} gewählt. \begin{lstlisting} iptables -P INPUT DROP @@ -147,12 +148,12 @@ ip6tables -P FORWARD DROP Datenverkehr über das Loopback-Interface ist immer erlaubt. \begin{lstlisting} iptables -A INPUT -i lo -j ACCEPT -iptables -A OUTPUT -i lo -j ACCEPT +iptables -A OUTPUT -o lo -j ACCEPT ip6tables -A INPUT -i lo -j ACCEPT -ip6tables -A OUTPUT -i lo -j ACCEPT +ip6tables -A OUTPUT -o lo -j ACCEPT \end{lstlisting} -Die Protokolle ICMP und ICMPv6 werden immer durchgelassen. +Die Protokolle ICMP und ICMPv6 sind immer erlaubt. \begin{lstlisting} iptables -A INPUT -p icmp -j ACCEPT ip6tables -A INPUT -p icmp6 -j ACCEPT @@ -173,8 +174,8 @@ ip6tables -A INPUT -p udp --dport 1194 -m state --state NEW,ESTABLISHED -j ACCEP Antwortpakete für eingehende Pakete auf SSH und OpenVPN-Dienst sind erlaubt. \begin{lstlisting} -iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -ip6tables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT +iptables -A OUTPUT -m state --state ESTABLISHED -j ACCEPT +ip6tables -A OUTPUT -m state --state ESTABLISHED -j ACCEPT \end{lstlisting} Vom VPN-Server ausgehende Pakete sind grundsätzlich erlaubt. @@ -189,7 +190,6 @@ iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT \end{lstlisting} - Für IPv4-Verkehr aus dem VPN soll NAT durchgeführt werden. \begin{lstlisting} iptables -t nat -A POSTROUTING -s 10.2.0.0/16 -j MASQUERADE @@ -213,7 +213,7 @@ iptables -A FORWARDING -d 10.2.0.0/16 -m state --state ESTABLISHED,RELATED -j AC ip6tables -A FORWARDING -d 2001:638:614:1750::/64 -m state --state ESTABLISHED,RELATED -j ACCEPT \end{lstlisting} - +\paragraph{Persistente Firewallregeln} Um die mit \texttt{iptables} erstellten Regeln auch über Neustarts hinweg zu behalten, wird das Paket \texttt{iptables-persistent} installiert. \begin{lstlisting} apt-get install iptables-persistent