Write paragraph about local firewall policy
This commit is contained in:
parent
552f6498a9
commit
f49ce784b6
|
@ -492,22 +492,26 @@ Um bei einem Defekt von Server~A ein Failover auf den Server~B durchzuführen, w
|
||||||
Anschließend werden die IP-Dienstadressen auf B aktiviert.
|
Anschließend werden die IP-Dienstadressen auf B aktiviert.
|
||||||
|
|
||||||
Sollte dieses Verfügbarkeitsniveau nicht mehr ausreichen, so muss lediglich ein weiteres IPv6-Netz für VPN-Clients bereitgestellt werden und neue IP-Dienstadressen für einen weiteren VPN-Dienst vergeben werden.
|
Sollte dieses Verfügbarkeitsniveau nicht mehr ausreichen, so muss lediglich ein weiteres IPv6-Netz für VPN-Clients bereitgestellt werden und neue IP-Dienstadressen für einen weiteren VPN-Dienst vergeben werden.
|
||||||
Damit ist ein Parallelbetrieb von zwei OpenVPN-Diensten möglich, die sich in der Konfiguration nur durch ihre IP-Dienstadresse und das verwendete IPv6-Netz für VPN-Clients unterscheiden.
|
Damit ist ein Parallelbetrieb von zwei OpenVPN-Diensten möglich, die sich in der Konfiguration nur durch ihre IP-Dienst\-adresse und das verwendete IPv6-Netz für VPN-Clients unterscheiden.
|
||||||
In der OpenVPN-Client\-kon\-fi\-gu\-ra\-tion können beide VPN-Dienste eingetragen werden, sodass die Clients bei Ausfall eines Servers automatisch eine Sitzung mit dem zweiten Server aufbauen können.
|
In der OpenVPN-Client\-kon\-fi\-gu\-ra\-tion können beide VPN-Dienste eingetragen werden, sodass die Clients bei Ausfall eines Servers automatisch eine Sitzung mit dem zweiten Server aufbauen können.
|
||||||
|
|
||||||
\paragraph{Lokale Firewall}
|
\paragraph{Lokale Firewall}
|
||||||
Die lokale Firewall wird auf Basis von \texttt{iptables} umgesetzt.
|
In Absprache mit dem Erstprüfer dieser Arbeit wurde die folgende Firewall-Richtlinie für den VPN-Server geplant und wird unter Nutzung von \texttt{iptables} umgesetzt.
|
||||||
|
Diese lokale Richtlinie wird durch die Firewall der Abteilung Informatik ergänzt.
|
||||||
|
|
||||||
Lokale Firewall setzt folgende Regeln um
|
Zuerst werden allgemeine Regeln definiert:
|
||||||
* Standardpolicy DROP
|
Als Standardverhalten wird festgelegt, dass alle Pakete verworfen werden.
|
||||||
* Datenverkehr über dev lo ist grundsätzlich erlaubt
|
Datenverkehr aus oder in die lokale Loopback-Schnittstelle wird zugelassen.
|
||||||
* ICMP und ICMPv6 sind grundsätzlich erlaubt
|
Datenverkehr mit den Protokollen ICMP und ICMPv6 wird zugelassen.
|
||||||
* Zugriffe auf den Server über das DMZ-Netz nur über SSH (tcp/22) und OpenVPN (udp/1194) erlaubt.
|
SSH-Zugriffe auf den Server über TCP-Port~22 werden zugelassen.
|
||||||
* Der Server selbst darf alles nach außen\footnote{Die Firewall der Abteilung Informatik reduziert die Menge der erlaubten Aktionen anhand der Vorgaben der DMZ}
|
UDP-Pakete an den OpenVPN-Dienst auf Port~1194 werden zugelassen.
|
||||||
* NAT für IPv4-VPN-Clients auf 141.71.38.7 (IPv4-Dienstadresse)
|
Vom Server ausgehender Datenverkehr wird grundsätzlich zugelassen, um die Grundfunktionen (beispielsweise: Installieren von Updates, DNS, NTP, \dots) des Betriebssystems zu ermöglichen.
|
||||||
* Datenverkehr von VPN-Client zu VPN-Client wird nicht weitergeleitet
|
|
||||||
* Datenverkehr aus dem VPN über (udp+tcp/2049) (NFS) wird verworfen.
|
Im Anschluss werden Regeln für die Behandlung des VPN-Datenverkehrs definiert:
|
||||||
* Jeglicher weiterer Datenverkehr aus dem VPN heraus ist gestattet.
|
Bei IPv4-Verkehr vom VPN-Netz zum Netz der Abteilung Informatik wird via NAT die Absenderadresse auf die IPv4-Dienstadresse übersetzt.
|
||||||
|
Datenverkehr, der aus dem VPN-Netz wieder in das VPN-Netz geroutet wird, soll verworfen werden.
|
||||||
|
Datenverkehr aus dem VPN-Netz über TCP oder UDP auf Port~2049 (NFS) wird verworfen.
|
||||||
|
Jeglicher weiterer Datenverkehr aus dem VPN-Netz heraus ist gestattet.
|
||||||
|
|
||||||
|
|
||||||
\section{Konfiguration von OpenVPN}
|
\section{Konfiguration von OpenVPN}
|
||||||
|
|
Loading…
Reference in New Issue