| Netzwerk | Netzwerkinterface | Verbindungen |
| Internet | Standleitung | Verbindungen nur ins »Perimeter Network« |
| Internes Netzwerk | Ethernet 1 | Alle benötigten Dienste müssen funktionieren |
| Perimeter Network | Ethernet 2 | Vermittler zwischen Internet und internen Netzwerken |
| Andere Rechner | ISDN Dialup | Definierte Verbindungen ins interne Netzwerk |
Tabelle 1: Grundkonzept einer »Screened Subnet Architecture«
Bereichen zur Verfügung steht. Diese Einstellungen werden von FCT direkt zur Generierung der »Rules-Files« für das interne und das »Perimeter Network« verwendet. Zur Erinnerung: Die Dienste der Firewall selbst wurden schon vorher definiert, die Dienste der »anderen Rechner« werden z.B. unter »Trusted« beschrieben. FCT verwendet hier wieder die Bezeichnungen »Incoming«, »Outgoing« und »All Directions« zur Beschreibung der Richtung, in welcher der Dienst genutzt werden kann. »Outgoing« bedeutet hier vom inneren Rechner zum äußeren. Alle Rechner im internen Netzwerk befinden sich innen, alle Rechner im Internet sind außen. Die Rechner im »Perimeter Network« sind aus Sicht des Internet innen und aus Sicht des internen Netzwerkes aussen. Dies muß bei der Definition in FCT berücksichtigt werden. Dazu ein Beispiel: Der E-Mail-Server »mail« befindet sich im »Perimeter Network«. Die Rechner im internen Netzwerk senden und empfangen E-Mail über diesen Rechner. Der Rechner mail muß also E-Mail mit dem Internet und dem internen Netzwerk austauschen (Listing 2). Hier sind für einen trivialen Dienst wie E-Mail (TCP: Port > 1023 -> smtp) für nur eine Richtung (ins Internet) schon zwölf(!) Kommandos auf der Firewall nötig, die mit FCT automatisch erstellt werden können. Die Option »! -y« gibt an, daß in Empfangsrichtung das TCP Flag ACK gesetzt sein muß. Soll der Verbindungsaufbau dieses Dienstes |
Shell-Scripts generieren zu lassen, welche ihrerseits alle benötigten Filterregeln generieren. Innerhalb der Maske »Firewall« wird das Kommando bestimmt, welches die Skripte verwenden sollen. Im Moment stehen folgende Kommandos zur Auswahl:
Zur Generierung der »Rules Files«, welche die Filterregeln erzeugen, wählt man in der Maske »Rules« von FCT den entsprechenden Dienst aus der Liste aller vorhanden Definitionen aus. Wenn schon ein »Rules File« für einen Dienst existiert, ist der Name in der Auswahlliste mit einem »*« markiert. Es existieren drei extra Einträge in der Liste:
|
 Bild 4: Dienste auf einer Firewall |
| protokolliert werden, sind zwei weitere Einträge mit der Option
»-l« zum Loging nötig. Um E-Mail aus dem Internet zu empfangen, werden die gleichen
Kommandos in der Gegenrichtung ebenfalls benötigt. Man erkennt, daß die Liste der
Filterregeln schnell ins Bodenlose wächst und sehr fehlerträchtig ist. Mit der vorhandenen Definition ist es jetzt möglich, durch FCT ausführbare |
Die neu erzeugten Regeln können
anschließend in der Rubrik »Test« gestartet werden. Die Auswahlliste ist
identisch aufgebaut. Ein »Rules File« für smtp (etc/smtp.rules)
wird entsprechend Listing 3 aufgebaut. Die Funktion 'ipgw' bestimmt die zu $source und $dest zugeordneten Netzwerk-Interfaces und generiert das jeweilige Kommando mit der |
entsprechenden Syntax. Für die Dienste auf der
Firewall selbst wird hier die Funktion 'ipfw' verwendet, welche aufgrund von nicht
vorhandenem Routing weniger Kommandos generieren muß. Die »Rules Files« werten einen »Configuration«-Eintrag des betreffenden Dienstes aus. Das heißt, die Verfügbarkeit von Diensten kann geändert werden, ohne das die »Rules Files« neu generiert werden |