Folgendes Szenario mit folgenden Wünschen und den bisher gemachten Anpassungen:
Internet ←> Fritz!Box ←> Kubuntu 8.04 ←> LAN
192.168.178.1 ←> 192.168.178.23 192.168.0.1 ←> LAN
Der Kubuntu PC soll per ssh und vnc konfigurierbar sein.
Er soll nach außen nur für einen bestimmten User per FTP erreichbar sein.
Alle anderen Ports nach außen sollen geschlossen sein die nichts mit FTP, ssh vnc http zu tun haben.
Nur im LAN soll der Kubuntu den zu testzwecken eingerichteten Apache anzeigen
Chef möchte ein Verzeichnis für sich freigegeben haben, auf das er per Passwort vollständig zugreifen kann.
Squid soll als Transparenter Proxy jeden Datenverkehr überwachen und per Blacklist verhindern.
Anpassungen:
openssh tightvnc samba apache vsftp squid squidGuard installiert
Zugriff von außen per ssh für nur einen bestimmten benutzer: funktioniert bis auf eine Ausnahme
VNC Zugriff von außen mit passwort eingabe: funktioniert bis auf eine Ausnahme
FTP Zugriff von außen: Funktioniert komischerweise sogar ohne Ausnahme
Apache nach außen nicht erreichbar. Mal sehen was die Ausnahme macht.
Verzeichnis von Chef angelegt und passwortabfrage eingerichtet: Funktioniert, aber nicht wie gewünscht.
Squid eingerichtet, aber wenn aktiv, ist keine Verbindung per Browser mehr ins Internet möglich. Er scheint auch nicht als Transparent zu arbeiten.
Fragen:
Ich habe firestarter iptables und firewallbuilder installiert um eine genauere Kontrolle zu haben und damit kein Client auf dummheiten kommt.
Per firewallbuilder habe ich zwar ein paar Dinge probiert, aber nie angewendet, weil ich mit der Einstellung noch nicht zurecht komme.
Unter Firestarter habe ich die Firewall in den Whitelist-Modus gesetzt und folgende Regeln eingerichtet:
Inbound:
Allow Connections from Host 192.168.0.0 ; 192.168.178.1
FTP 20-21 everyone
ssh 22 <meinDynDnsAccount.homewindows.com>
squid 3128 everyone
Samba 137-139 445 192.168.0.0
VNC 5801 everyone
VNC 5901 everyone
http 80 everyone
Outbound: (Restricted by default, whitelist traffic)
Allow Connections to Host 192.168.0.0 ; 192.168.178.1
Allow Connections from LAN Host 192.168.0.0 192.168.178.1
FTP 20-21 firewall
VNC 5801 firewall
VNC 5901 firewall
squid 3128 lan
Samba 137-139 445 lan
http 80 lan
http 80 firewall
acl arbeitsgruppe 192.168.0.0 und http_allow arbeitsgruppe ist in der squid conf eingetragen. Die Eintragungen befinden sich dort, wo in der Squid conf die angepassten auch hin müssen.
Wenn ich jetzt firestarter starte, ist der einzige Netzwerkverkehr der noch stattfindet der FTP. Ich komme weder per ssh noch per vnc zum Konfigurieren.
Da wir ein Geschäft sind, welches Computer verkauft, repariert und wartet , sollte alles so unentdeckt für die Kunden PCs sein wie möglich. D.h. sie sollen alles über den Proxy laufen lassen müssen. Der wiederum soll jeglichen Datenverkehr per ClamAV oder ähnlichem nach viren scannen.