.TH FIREWALL.CF 5 "November 19, 2005" "Kai Wilke" "kwfirewall Konfigurations Datei" .SH NAME firewall.cf - Konfigurationsdatei fuer die kwfirewall Startstopscripte und kwfirewall .SH UEBERSICHT /etc/kwtools/firewall.cf .SH BESCHREIBUNG Die Variablen werden von den Start-, Stopscripten und vom Script kwfirewall eingelesen. Beginnt eine Zeile mit '#' oder ist leer wird dies als Kommentar interpretiert. Alle Ports, Module muessen getrennt durch ein Leerzeichen aufgelistet werden. Bei den *_DEV Eintragungen geht nur ein Interface. Bei den Ports kann man auch den Namen anstelle der Portnummer vergeben, wenn dieser in der /etc/services steht. .TP .B IPTABLES Geben Sie hier an, welches iptaples Programm benutzt werden soll (iptables=ipv4, ip6table=ipv6). .TP .B MODULES Geben Sie hier die Netfilter Module an, die beim Start der Firewall geladen werden sollen. .TP .B FORWARD Soll Forwarding aktiviert werden (yes/no)? Aktivieren Sie dies nur wenn die Firewall auf einem Router laeuft und Pakete aus den Netzen ins Internet weiterleiten soll. Wenn dies ein Einzelrechner ist, deaktivieren Sie dies, da dies sonst ein Sicherheitsproblem ist. .TP .B MASQUERADE Masquerading aktivieren (yes/no)? Wenn Sie dies aktivieren, werden alle IP-Adressen aus den internen Netzen, masquiert. Aus dem Internet sieht es dann so aus, als wenn alle IP-Pakete vom Fierewall Rechner kommen. Dies benoetigen Sie nur wenn dies kein Einzelrechner ist und eine dynamische IP besitzt (dial on demand). Lesen Sie auch das NAT-HOWTO unter http://www.netfilter.org/documentation. .TP .B DMZ_DEV Geben Sie hier die Netzwerk Schnittstelle zu Ihrer Demilitarisierten Zone (DMZ) an. Benutzen Sie diese nur wenn dieser Rechner mit einer DMZ verbunden ist. .TP .B INT_DEV Geben Sie hier die Netzwerk Schnittstelle zum Internet an. Bei dynamischen Verbindungen kann dies ipppn (ISDN), pppn (Modem/DSL) sein. Das "n" steht fuer eine Zahl (ppp0). .TP .B LAN_DEV Geben Sie hier die Netzwerk Schnittstellen zu Ihrem Lokal Area Network (LAN) an. Benutzen Sie dies nur wenn dieser Rechner mit einem LAN verbunden ist. .TP .B DMZ Geben Sie hier die Netzwerkmaske zu Ihrer DMZ an (192.168.2.0/24). .TP .B LAN Geben Sie hier die Netzwerkmaske zu Ihrem LAN an (192.168.0.0/24). .TP .B TCP_FW_TO_DMZ TCP Ports von der Firewall zur DMZ .TP .B UDP_FW_TO_DMZ UDP Ports von der Firewall zur DMZ .TP .B TCP_FW_TO_INT TCP Ports von der Firewall zum Internet .TP .B UDP_FW_TO_INT UDP Ports von der Firewall zum Internet .TP .B TCP_FW_TO_LAN TCP Ports von der Firewall zum LAN .TP .B UDP_FW_TO_LAN UDP Ports von der Firewall zum LAN .TP .B TCP_DMZ_TO_FW TCP Ports von der DMZ zur Firewall .TP .B UDP_DMZ_TO_FW UDP Ports von der DMZ zur Firewall .TP .B TCP_LAN_TO_FW TCP Ports von der LAN zur Firewall .TP .B UDP_LAN_TO_FW UDP Ports von der LAN zur Firewall .TP .B TCP_INT_TO_FW TCP Ports vom Internet zur Firewall .TP .B UDP_INT_TO_FW UDP Ports vom Internet zur Firewall .TP .B TCP_INT_TO_LAN TCP Ports vom Internet zum LAN .TP .B UDP_INT_TO_LAN UDP Ports vom Internet zum LAN .TP .B TCP_LAN_TO_INT TCP Ports vom LAN zum Internet .TP .B UDP_LAN_TO_INT UDP Ports vom LAN zum Internet .TP .B TCP_INT_TO_DMZ TCP Ports vom Internet zur DMZ .TP .B UDP_INT_TO_DMZ UDP Ports vom Internet zur DMZ .TP .B TCP_DMZ_TO_INT TCP Ports von der DMZ zum Internet .TP .B UDP_DMZ_TO_INT UDP Ports von der DMZ zum Internet .TP .B TCP_LAN_TO_DMZ TCP Ports vom LAN zur DMZ .TP .B UDP_LAN_TO_DMZ UDP Ports vom LAN zur DMZ .TP .B TCP_DMZ_TO_LAN TCP Ports von der DMZ zum LAN .TP .B UDP_DMZ_TO_LAN UDP Ports von der DMZ zum LAN .TP .B NAT - Masquerading Bei den folgenden Variablen kann man eine IP-Adresse (192.168.0.10), eine Reihe von IP-Adressen (192.168.0.10-192.168.0.20), ein optionaler Port oder eine Reihe von Ports (20:22) angegeben werden. Es gehen nur nummerische Ports. .TP .B BEISPIELE .TP .B 1. 80:192.168.0.1:3128 - Aendern der Zieladresse von Webtraffic auf 192.168.0.1 Port 3128. .TP .B 2. 192.168.0.1:3128 - Zielport 3128 und Zieladresse auf 192.168.0.1 Port 3128 aendern. .TP .B 3. 192.168.0.1-192.168.0.3 - Zieladresse zu 192.168.0.1, 192.168.0.2 oder 192.168.0.3 aendern. Wenn eine Reihe von IP-Adressen gegeben ist, wird diejenige ausgewaehlt, die im Moment am wenigsten fuer IP-Verbindungen, von denen die Maschine weiss, benutzt wird. Dies macht primitives 'load-balancing' moeglich. .TP .B TCP_INT_TO_DMZ_NAT IP-Adressen und TCP Ports vom Internet zur DMZ per NAT .TP .B UDP_INT_TO_DMZ_NAT IP-Adressen und UDP Ports vom Internet zur DMZ per NAT .TP .B TCP_INT_TO_LAN_NAT IP-Adressen und TCP Ports vom Internet zum LAN per NAT. .TP .B UDP_INT_TO_LAN_NAT IP-Adressen und UDP Ports vom Internet zum LAN per NAT .SH DATEIEN /etc/kwtools/firewall.cf .SH SIEHE AUCH iptables(8), ip6tables(8) .SH AUTOREN Kai Wilke