Smoothwall er en Linux distribusjon som er utviklet spesielt for å kunne fungere som en hardware firewall ved hjelp av en PC hardware. I forbindelse med dette så er den utstyrt med et grafisk konfigurasjonsgrensesnitt. En hel del av de problemstillinger som man tenker på når man setter opp en Linux firewall ved hjelp av script bør man ikke tenke på når man setter opp en Smoothwall.
Problemstillingene rundt returtrafikk i forhold til trafikk som er initiert fra innsiden er tatt vare på automatisk og som default (Problemstilling rundt porter for returtafikk (ephemerale porter) + problemstilling for dynamisk åpning for returtrafikk (Statefull inspection)) Dette er tatt vare på automatisk så skal man ikke tenke på (Når firewall er Smoothwall).
Smoothwall har så vidt jeg husker ingen innstilling for filtrering av utgående trafikk (Egress filtering). Hvis jeg nå husker rett vedrørende dette, så skal man ikke tenke på dette heller.
Ved default installasjon så vil man vel ha full åpning fra lan og ut, fra dmz og ut, fla lan til dmz og så vil det være helt lukket fra internet/wan til dmz og til lan.
Dette er et ok grunnoppsett så lenge som man ikke har noen servere.
Dersom man ønkser å sette opp noen servere som skal være tigjengelige fra lan og fra internet så setter man disse opp enten på lan segmentet (typisk hjemmenettverk) eller dmz segmentet (virksomhetsløsning.)
Forbindelsen mellom wan-dmz-lan er en "routed forbindelse" dvs en forbindelse mellom ulike nettverkssegmenter (subnet).
Ikke alle services er laget for å skulle være routbare, dvs de er ikke laget slik at de i utgangspunktet kan passere forbi en router. En av disse ikke routbare tjenestene er Windows harddisk shares som bare er beregnet for å kjøre i en lan sone. Man kan derfor i utgangspunktet ikke plassere denne på dmz, men inne på lan.
De typiske wan tjenestene (de servertjenestene som skal kunne tilgås fra internet og lan) installeres på server(e) i dmz segmentet, hvis man bruker en dmz løsning.
For å sette opp mulighet for trafikk fra wan (internet) til dmz sonen så må man gå inn i konfigurasjonsmenyen:
Klikk på "Networking" og så på "Portforwarding".
Så skal man legge inn opplysninger om den trafikken som skal tillates (forwardes) fra wan (internett) til servern(e) i dmz sonen.
Man kan eventuelt legge inn flere åpninger enn det som man har bruk for, og så kan man hake av for (sette flueben) for om denne åpningen (regelen) skal være aktiv eller ikke.
I default oppsett så virker Smotthwall som en "enveisventil" den har 100 % åpning for all trafikk ut og ingen åpning for trafikk inn fra wan/internet og til dmz eller lan. Slik er den satt opp med en rimelig høy grad av default sikkerhet.
Når man så setter opp forwarding rules via det grafiske konfigurasjonsgrensesnittet så vil man kunne åpene for en og en port (med tilordning av protokoll.) fra wan til dmz (lan-dmz håndteres automatisk.)
Man kan jo for eksempel lage dette settet med forwarding rules der man kan aktivisere en og en forwarding etter behov (flueben):
tcp 20 - ftp data (Behøves ikke for Smoothwall 2.0 Åpne automatisk.)
tcp 21 - ftp initiering av trafikk.
tcp 22 - ssh demon
tcp 23 - telnet (Denne brukes vanligvis ikke lengre. Sikkerhetsmessig problem.)
tcp 25 - mail server
udp 53 - dns server
tcp 53 - dns server (Vil vanligvis ikke være i bruk. Sikkerhetsmessig problem.)
tcp 80 - web server
tcp 110 - pop3 server (for henting av mail)
tcp 143 - imap server (for henting av mail)
tcp 443 - SSL web server
For alle disse portene/protokollene så er det slik at man normalt lar feltet avsender ip bli stående åpen mens man setter begge port feltene med samme port. Man må også taste inn ip til serveren på dmz.
Det er altså kun forwarding rukes for trafikken til dmz serverne man behøver å sette opp. Det øvrige er bygget inn pr default som "automatiske" løsninger i Smoothwall. Oppsett av forwarding rules er ellers beskrevet i manuelaen på side 28.
Oppsett av Smothwall er i virkeligheten meget enkelt. Link til admin manual:
http://downloads.smoothwall.org/pdf/2.0/admin.pdfUt i fra de standard konfigureringsmuligheter som er tilgjengelig, så har man egentlig ikke så mange valg og det hele er egentlig nokså enkelt (nemt).
MVH Langbein.