TS: Firewalls einrichten und kontrollieren

Hello,

ich suche gut verständliche Artikel und Anleitungen zum Thema

Firewalls einrichten und kontrollieren.

Vornehmlich IPtables und ggf. auch den Nachfolger NFtables. Zur Zeit nur für IPv4. Ich denke aber, es schadet nichts, wenn ich mich auch schon mal intensiver mit den Variationen für IPv6 beschäftige. Damit habe ich leider noch keine verwertbaren Erfahrungen.

Möglichst auf Deutsch.
Ich soll daraus ein Hands-on-Seminar (ca. 8-10 Tage) für Ende Januar produzieren für angehende IT-Integratoren (Schwerpunkt Linux).

Beginnen sollte man vermutlich mit den Grundlagen des Routings?
Die Abschnitte werden mit praktischen Übungen in der Gruppe begleitet, also quasi "jeder gegen jeden".

Glück Auf
Tom vom Berg

--
Es gibt nichts Gutes, außer man tut es!
Das Leben selbst ist der Sinn.
  1. Beginnen sollte man vermutlich mit den Grundlagen des Routings?

    So isses. Ein Firewall ist ein Router. Grundsätzlich kannst Du jeden Router zu einer FW machen indem Du eine Access Control Policy einrichtest. Und speziell für FW gebaute Technik unterstützen eine Managemenstation mit grafischer Oberfläche und mehreren FW-Modulen.

    MFG

    1. Hello,

      Beginnen sollte man vermutlich mit den Grundlagen des Routings?

      So isses. Ein Firewall ist ein Router. Grundsätzlich kannst Du jeden Router zu einer FW machen indem Du eine Access Control Policy einrichtest. Und speziell für FW gebaute Technik unterstützen eine Managemenstation mit grafischer Oberfläche und mehreren FW-Modulen.

      Davon habe ich schon mal gehört ;-P

      Es geht hier aber um into-the-depth per Kopf und Hand.
      Und da konnte ich bisher keine vernünftigen Tutorials finden.

      Über Tipps wäre ich daher froh. Zur Not muss ich sie dann eben selber ins Deutsche übersetzen. Es steigt dann nur wieder die mögliche Fehlerquellenanzahl.

      Glück Auf
      Tom vom Berg

      --
      Es gibt nichts Gutes, außer man tut es!
      Das Leben selbst ist der Sinn.
      1. Hallo Tom,

        Über Tipps wäre ich daher froh. Zur Not muss ich sie dann eben selber ins Deutsche übersetzen.

        falls das das einzige Problem wäre: Damit könnte ich auch gern aushelfen.

        Es steigt dann nur wieder die mögliche Fehlerquellenanzahl.

        Inwiefern? Durch falsches Übersetzten und daraus resultierendes falsches Verstehen? - Ich denke, dieses Risiko können wir recht klein halten.

        Schönen Abend noch,
         Martin

        --
        Paradox ist, wenn das Endlospapier plötzlich zu Ende ist.
        1. Hello Martin,

          danke für dein Angebot. Ich werde voraussichtlich darauf zurückkommen. Zweieinhalb Monate incl. Weihnachtszeit sind nicht sehr viel. Da muss ich Gas geben, wenn es nachher verständlich sein soll für angehende IT-Fachleute.

          Glück Auf
          Tom vom Berg

          --
          Es gibt nichts Gutes, außer man tut es!
          Das Leben selbst ist der Sinn.
  2. Vornehmlich IPtables und ggf. auch den Nachfolger NFtables.

    Das solltest du umdrehen, in so gut wie allen aktuellen Distros ist nftables inzwischen der Standard.

    Zur Zeit nur für IPv4. Ich denke aber, es schadet nichts, wenn ich mich auch schon mal intensiver mit den Variationen für IPv6 beschäftige. Damit habe ich leider noch keine verwertbaren Erfahrungen.

    Kein großer Unterschied, außer dass ICMP-Blocken eine noch dämlichere Idee ist: https://tools.ietf.org/html/rfc4890

    Möglichst auf Deutsch.

    Viel Erfolg bei der Suche.

    1. Hello,

      Möglichst auf Deutsch.

      Viel Erfolg bei der Suche.

      grmpf

      Danke schön ;-p

      Glück Auf
      Tom vom Berg

      --
      Es gibt nichts Gutes, außer man tut es!
      Das Leben selbst ist der Sinn.
  3. Vergiss nicht: ufw und firewalld/firewall-cmd

      • Zusammenspiel der Firewall(s) mit fail2ban, blocklist.de, atd, crond, sudo, SELinux, …