Teil 11: Firewall - Ergänzungen

Transkript

1 Informationssicherheit Teil 11: Firewall - Ergänzungen

2 Übersicht Tipps und Tricks Testen von Firewalls Administration Echte Firewalls mit NAT 2

3 Vollständiges Öffnen der Firewall iptables --policy INPUT ACCEPT iptables --policy OUTPUT ACCEPT iptables --policy FORWARD ACCEPT iptables -t nat --policy PREROUTING ACCEPT iptables -t nat --policy OUTPUT ACCEPT iptables -t nat --policy POSTROUTING ACCEPT iptables -t mangle --policy PREROUTING ACCEPT iptables -t mangle --policy OUTPUT ACCEPT iptables --flush iptables -t nat --flush iptables -t mangle --flush iptables --delete-chain iptables -t nat --delete-chain iptables -t mangle delete-chain iptables -A INPUT -i $LOOP_INT -j ACCEPT iptables -A OUTPUT -o $LOOP_INT -j ACCEPT 3

4 Schnelles Schließen der Firewall (Panic-Knopf) I iptables --flush iptables -t nat --flush iptables -t mangle --flush iptables -A INPUT -i $LOOP_INT -j ACCEPT iptables -A OUTPUT -o $LOOP_INT -j ACCEPT iptables --policy INPUT DROP iptables --policy OUTPUT DROP iptables --policy FORWARD DROP iptables -t nat --policy PREROUTING DROP iptables -t nat --policy OUTPUT DROP iptables -t nat --policy POSTROUTING DROP iptables -t mangle --policy PREROUTING DROP iptables -t mangle --policy OUTPUT DROP iptables --delete-chain iptables -t nat --delete-chain iptables -t mangle --delete-chain 4

5 Schnelles Schließen der Firewall (Panic-Knopf) II Das Löschen der Chains führt nicht zum Aufheben der Policy, so dass ohne Policy-Änderung nur dann gesperrt wird, wenn vorher die Policy DROP definiert war. Wenn vorher die Policy ACCEPT war, muss die Reihenfolge der iptables-aufrufe geändert werden - jedenfalls wenn es um Millisekunden geht. Bei manueller Eingabe ist das aber eh egal... 5

6 Mehrere Server mit festen Adressen Häufig gibt es mehrere DNS-Server. Für diese wird eine Liste in einer for-schleife durchlaufen: DNSLIST=" " for DNS in $DNSLIST do iptables... -d $DNS done 6

7 Bemerkungen I Bitte beachten, dass mindestens der erste DNS-Server per IP- Adresse definiert werden muss, da jede Auflösung von DNS- Namen einen DNS-Server benötigt; das betrifft auch das Skript mit den iptables-aufrufen. Das DNS-Auflösen mit /etc/hosts-einträgen ist nur für die lokalen DNS/Adressen sinnvoll, da diese per iptables nicht beschränkt zu werden brauchen. Nachdem iptables den ersten DNS-Server zugreifbar gemacht hat, können mit dem nächsten iptables-aufruf symbolische Namen benutzt werden, sofern der erste DNS-Server an erster Stelle in /etc/resolv.conf steht. Wenn ein lokaler DNS-Cache-Server benutzt wird, wird dieser per angesprochen und muss analog zu oben mit der ersten DNS-Server-Adresse arbeiten. 7

8 Bemerkungen II Das bedeutet aber auch, dass während der Abarbeitung des Skripts Netzverkehr abläuft! Diese "Parallelität" beachten! Bei anderen Diensten die Boot-Reihenfolge bzw. der Ablauf beim Aufbau von ISDN/DSL-Zugängen beachten! 8

9 Administration von Firewalls I Einfach, bequem und (ein wenig) unsicher: ssh Jeder Serverprozess, der ein Laden von Dateien erlaubt bzw. der prinzipiell den root-zugriff erlaubt ist, kritisch. Die ssh-suite erlaubt aber: Remote login Heraufladen von Updates, Konfigurationsdateien Herunterladen von Logfiles, rpm-/tripwire-bibliotheken Backups durch Herunterladen 9

10 Administration von Firewalls II Direkter Zugriff über Konsole u.a. über Kabelumschalter angeschlossen (1 Monitor/1 Tastatur/1 Maus für mehrere Geräte) Aufwändig und umständlich, aber sicher Heraufladen mittels CD/DVD, umständlich, aber sicher Herunterladen Auf CD brennen (aufwändig bei kleinen Dateien) USB-Sticks 10

11 Administration von Firewalls III Die "beste" Methode: Vorbereiten: Durch Partitionieren die statischen (Read Only) von den dynamischen Filesystemen (read/write) trennen Boot-Disketten bzw. Boot-CD zum Einspielen von Images Zweites, baugleiches System (Spiegelsystem) Aktualisieren, Konfigurieren und (erste) Tests am Spiegelsystem Erstellen von Images auf gebrannte CD/DVD Booten mit Disketten bzw. CD und Einspielen der Images Herunterholen der Logfiles vom frischen System Testen des frischen Systems 11

12 Varianten I Benutzung von einem verschlüsselten Dateisystem: Bequem, aber nicht so sicher wie Benutzung eines externen Mediums (was ja auch Aufwand macht) Unklare Einschätzung der Sicherheit, da unbekannt ist, wie und mit welchem Aufwand verschlüsselte Dateisysteme zu knacken sind Richtige Passwörter benutzen! Bootvorgang so konfigurieren, dass auch ohne Passwort- Eingabe gebootet werden kann Zwei Versionen von fstab: Umbenennen und mount -a aufrufen Eine Passwortnachfrage macht ein automatisches Hochfahren/- Einschalten recht unbequem. 12

13 Varianten II Für das Problem schreibgeschützter Dateisysteme: Falls es möglich ist: USB-Sticks mit Schreibschutz per Schalter Diesen auf Readonly umzulegen nicht vergessen! Ansonsten: CD-R brennen mit Abschließen der CD Auf keinem Fall eine CD-RW benutzen Es muss davon ausgegangen werden, dass ein Eindringling die CD beschreibt. Für Bastler an alten PCs mit IDE geht noch: Kleine IDE-Platte mit Hardware-Schreibschutz, z. B. mit herausgeführten Schalter 13

14 Arbeitsprozess - eine Variante I Dies ist eine Prozessvariante für eine iptables-firewall: Schritt Tätigkeit 1 Hardware zusammenbauen bzw. ändern, Spiegelsystem 2 BIOS-Einstellungen setzen (mit Passwörtern) 3 Partitionieren mit Formatieren 4 Installation ohne X mit Entwicklerwerkzeugen 5 Boot-Disketten bzw. Boot-Medien erstellen 6 Installieren der restlichen Software 7 Installieren/Konfigurieren von iptables 8 (x)inetd abdichten (Dienste löschen) 9 initd abdichten (Dämonen löschen) für alle Run Levels 10 Testen, ob gewünschte Dienste von innen möglich sind 11 Testen, ob nur gewünschte Dienste von außen möglich sind 14

15 Arbeitsprozess - eine Variante II Dokumentieren, Dokumentieren und nochmals Dokumentieren: Hardware: Platten (Master/Slave) Beschriften: Platten selbst Schnittstellen (eth0, eth1 etc.) Gerät benennen BIOS-Einstellungen Alle Passwörter (ja, ja, aber...) Zylinderbereiche der Partitionen Boot-Medien beschriften Zu den Boot-Medien und Installationsmedien Kopien anfertigen 15

16 Arbeitsprozess - eine Variante III Schritt Tätigkeit 12 Logging einstellen/konfigurieren 13 Logging testen, z. B. über externen Server 14 Werkzeuge zur Logdatei-Prüfung testen auf Firewall sowie auf externen Server 15 /boot aufräumen 16 Unbenutzte Kernelmodule löschen bzw. Kernel binden 17 Möglichst Image von /boot anlegen 18 Alle Tests wiederholen 19 Jede ungebrauchte Software in zip packen und löschen 20 Alle Tests wiederholen bzw. Software wieder herstellen 21 Ungebrauchte Software in zip auf Medium schreiben bzw. einfach löschen 16

17 Arbeitsprozess - eine Variante IV Falls mit einem Spiegelsystem gearbeitet wird: Vor dem Löschen der unbenötigten Software, also vor letztem Schritt: Images von den Platten anlegen Images auf CD-R(W) brennen, d.h. Brenner ist erforderlich Images auf Spiegelsystem bringen Das Spiegelsystem kann in eine geeignete Testumgebung gebracht werden, die aber möglichst der realen ähnlich sein sollte Auch ohne Spiegelsystem sind Images sehr gut... 17

18 Arbeitsprozess - eine Variante V Was noch zu tun ist: Regelmäßig die Logdateien ansehen Regelmäßig das System patchen 18

19 eth1 eth0 eth1 eth1 Architekturen für echte Firewalls I (A) (C) ist eine typische Architektur mit einer Bastion (D) Hat eine Mini-DMZ, die aus einem Crossover-Kabel besteht PF = Packet Filter (B) 19

20 Architekturen für echte Firewalls II Um die Beispiele konkreter zu machen, werden bestimmte Konstellationen angenommen: Auf der Firewall laufen keine Server. Dies kann etwas aufgeweicht werden, wenn z.b. auf der Firewall ein Cache-DNS-Server läuft, ein NTP-Server läuft. Die Firewall wird als statefull Packet-Filter konzipiert. Es gibt keine öffentlichen Web-, DHCP- und keinen FTP-Server im LAN. In der Konstellation (A) erhält die Firewall ihre IP-Adresse von Außen per DHCP (über PPPoE vom Provider, z.b.). In der Konstellation (B) hat die Firewall eine fest definierte IP- Adresse, denn für das Innennetz ist sie der Router. 20

21 Forward-Chain I - Wiederholung 21

22 Forward-Chain II - Wiederholung Wenn ein Packet innerhalb des Hosts geroutet wird, durchläuft es die Forward-Chain. Verbleibt es im System die Input-Chain. 22

23 Routing I Routing hat zwei Bedeutungen 1)Wegwahl für Transport zwischen verschiedenen Schnittstellen innerhalb des Systems 2) Wegwahl für Transport zwischen Systemen innerhalb eines Netzes Für das Routing des 1. Falls gibt es folgende Möglichkeiten: Kernel anhand seiner Routing-Tabelle Benutzung von Proxies FORWARD-Regeln mit Setzen der Kernelvariablen ip_forward Für das Routing des 2. Falls gibt es üblicherweise die Möglichkeit der Benutzung der Routing-Tabelle(n) der betroffenen Router. 23

24 Routing II Im folgenden wird das Vorgehen bei einem Router mit optionalem NAT, der keine FORWARD-Regeln und auch keine Proxies benutzt, besprochen. M.a.W. das Folgende gilt nur für echte Router... 24

25 Routing III 25

26 Routing IV - Tabelle für Router A Ziel Netzmaske Router Gateway Schnittstelle eth eth eth ppp ppp0 Der letzte Eintrag betrifft die Default-Route. 26

27 Routing IV Ablauf Ist es für den Router selbst bestimmt: INPUT-Chain Verlässt das Paket den Router: Ist der Router-Eintrag leer, wird mit ARP die MAC-Adresse im angrenzenden LAN gesucht und das Paket gesendet. Ist ein Router angegeben, wird die MAC-Adresse vom angegebenen Router zum Senden benutzt In beiden Fällen bleibt die Destination-Adresse unberührt. Bei Konflikten wird immer der Eintrag mit der spezielleren Adressangabe benutzt. 27

28 Packet-Filter I Im folgenden wird ein statefull Packetfilter mit Routing-Funktionen besprochen, d.h. keine Benutzung von Proxies. Die Nicht-Beachtung der Routing-Tabelle setzt voraus, dass die Weitergabe der Pakete nach Außen/Internet "automatisch" realisiert wird, z. B. über PPPoE bei DSL, also bei Konstellation (A). Ansonsten muss eine Default-Route eingetragen werden (Konstellation (B)): route add default gw IPAdresse-des-nächsten-Routers 28

29 Packet-Filter II Es ist (fast) dasselbe Skript wie bei der Personal-Firewall, nur dass aus den beiden INPUT/OUTPUT-Regeln eine FORWARD-Regel mit zwei Angaben der Schnittstellen -i und -o werden. Allerdings müssen ein paar Beschränkungen bzgl. der Absenderadresse beachtet werden. Weiterhin müssen andere Kernelmodule geladen und andere Kernelparameter gesetzt werden: Kernelvariable Erläuterung ip_forward Einschalten des Routings mit FORWARD-Regeln Kernelmodul Erläuterung ip_conntrack_ftp Passives FTP (und auch NAT) ip_nat_ftp Aktives FTP und NAT Laden eines Kernelmoduls mit z.b. "modprobe ip_conntrack_ftp". 29

30 Einfaches Beispiel - DNS I iptables -A FORWARD -i $INNER -o $OUTER -p udp -s $INNERADDR --sport $OPEN_PORT -d $NAMESERVER --dport 53 -j ACCEPT iptables -A FORWARD -i $OUTER -o $INNER -p udp -s $NAMESERVER --sport 53 -d $INNERADDR --dport $OPEN_PORT -j ACCEPT Mit Makros $SEND und $RECEIVE: $SEND -p udp -s $INNERADDR --sport $OPEN_PORT -d $NAMESERVER --dport 53 -j ACCEPT $RECEIVE -p udp -s $NAMESERVER --sport 53 -d $INNERADDR --dport $OPEN_PORT -j ACCEPT 30

31 Makros Name Bedeutung SEND iptables -A FORWARD -i $INNER -o $OUTER RECEIVE iptables -A FORWARD -i $OUTER -o $INNER INNER Schnittstelle nach Innen: eth1 INNERNET INNERNET_BROADCAST INNERADDR /16 bzw. /12 OPEN_PORT "1024:65535" PRIVAT_PORT "0:1023" Die Makros INNER* beschreiben den Adressraum des inneren Netzes. 31

32 Einfaches Beispiel - DNS II zustandslose Version $SEND -p udp --sport $OPEN_PORT -d $NAMESERVER --dport 53 -j ACCEPT $RECEIVE -p udp -s $NAMESERVER --sport 53 --dport $OPEN_PORT -j ACCEPT Das ist eventuell zu offen, daher: $SEND -p udp -s $INNERADR --sport $OPEN_PORT -d $NAMESERVER --dport 53 -j ACCEPT $RECEIVE -p udp -s $NAMESERVER --sport 53 -d $INNERADDR --dport $OPEN_PORT -j ACCEPT Wer allen DNS-Servern vertraut, lässt -d $NAMESERVER weg. 32

33 Das Packet-Filter Script I Im folgenden wird in Auszügen ein Packet-Filter-Script beschrieben, das vollkommen analog wie die Personal-Firewall aufgebaut ist. Die globalen Durchlassregeln für aufgebaute Verbindungen heißen nun: iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT $SEND -m state --state ESTABLISHED,RELATED -j ACCEPT $RECEIVE -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -m state --state INVALID -j DROP iptables -A OUTPUT -m state --state INVALID -j DROP $SEND -m state --state INVALID -j DROP $RECEIVE -m state --state INVALID -j DROP 33

34 Das Packet-Filter Script II iptables --policy INPUT DROP iptables --policy OUTPUT DROP iptables --policy FORWARD DROP iptables -t nat --policy PREROUTING ACCEPT iptables -t nat --policy OUTPUT ACCEPT iptables -t nat --policy POSTROUTING ACCEPT iptables -t mangle --policy PREROUTING ACCEPT iptables -t mangle --policy OUTPUT ACCEPT Für NAT-Tabellen ist ACCEPT die Policy! Die Mangle- Tabelle wird nicht benutzt Wie gehabt aber nun sind die Gründe anders. Bei der NAT-Tabelle wird mit Absicht eine andere Policy verwendet, während die Mangle-Tabelle nicht benutzt wird. 34

35 Ergänzung der Ketten (Chains) 35

36 Das Packet-Filter Script III Das Vorfiltern von Schrott und Scanns wird nun über die PREROUTING- Kette realisiert: $PREFILTER -p tcp --tcp-flags ALL NONE -j DROP $PREFILTER -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP $PREFILTER -p tcp --tcp-flags SYN,RST SYN,RST -j DROP $PREFILTER -p tcp --tcp-flags FIN,RST FIN,RST -j DROP $PREFILTER -p tcp --tcp-flags ACK,FIN FIN -j DROP $PREFILTER -p tcp --tcp-flags ACK,PSH PSH -j DROP $PREFILTER -p tcp --tcp-flags ACK,URG URG -j DROP Bei diesen Regeln gibt es keine Einschränkungen auf die Schnittstelle, so dass diese Regeln für alle gelten, d.h. an allen Schnittstellen gehen keine Scanns... Das Makro PREFILTER hat folgende Definition: PREFILTER="iptables -t nat -A PREROUTING" 36

37 Das Packet-Filter Script IV $PREFILTER -i $OUTER -s $CLASS_A -j DROP $PREFILTER -i $OUTER -s $CLASS_B -j DROP $PREFILTER -i $OUTER -s $CLASS_C -j DROP Das muss entsprechend den benutzten Netzen angepasst werden. $PREFILTER -i $OUTER -s $LOOPBACK -j DROP # Drop reserved addresses from outside $PREFILTER -i $OUTER -s $CLASS_E -j DROP $PREFILTER -i $OUTER -s /8 -j DROP $PREFILTER -i $OUTER -s /16 -j DROP $PREFILTER -i $OUTER -s /24 -j DROP Der rot gekennzeichnete Block fängt noch weitere unsinnige Pakete ab (als bei der Personal Firewall). 37

38 DNS I zustandsbehaftete Version $SEND -p udp -s $INNERADR --sport $OPEN_PORT -d $NAMESERVER --dport 53 -m state --state NEW -j ACCEPT $SEND -p udp -s $INNERADR --sport $OPEN_PORT -d $NAMESERVER --dport 53 -j ACCEPT $RECEIVE -p udp -s $NAMESERVER --sport 53 -d $INNERADR --dport $OPEN_PORT -j ACCEPT Dies ist hier der Code aus dem obigen Beispiel. Der untere eingerahmte Bereich realisiert das Fall Back in den stateless mode, der vielleicht nicht erwünscht ist... 38

39 DNS II zustandsbehaftete Version # Das Ganze noch einmal für TCP $SEND -p tcp -s $INNERADR --sport $OPEN_PORT -d $NAMESERVER --dport 53 -m state --state NEW -j ACCEPT $SEND -p tcp -s $INNERADR --sport $OPEN_PORT -d $NAMESERVER --dport 53 -j ACCEPT $RECEIVE -p tcp -s $NAMESERVER --sport 53 -d $INNERADR --dport $OPEN_PORT -j ACCEPT Der untere eingerahmte Bereich realisiert das Fall Back in den stateless mode, der vielleicht nicht erwünscht ist... 39

40 DNS III Jetzt besteht noch das Problem, dass die Firewall selbst DNS benutzen möchte: Das wird dadurch gelöst, dass INPUT/OUTPUT-Regeln wie bei der Personal-Firewall benutzt werden, denn alle auf der Firewall laufenden Programme benutzen die INPUT/OUTPUT-Ketten. Weiterhin sollte nur der DNS-Server im eigenen lokalen Netz den Zugriff nach außen haben; bei den bisher angegebenen Regeln können alle Maschinen des LAN DNS-Requests senden. Dies wird dadurch erreicht, dass der DNS-Zugriff nur von einem Gerät mit einer festen IP-Adresse (nämlich die vom lokalen DNS- Server) erlaubt ist. Dazu wird ein weiteres Makro eingeführt, das diese IP-Adresse beinhaltet: $INNERDNS 40

41 DNS III $SEND -p udp -s $INNERDNS --sport $OPEN_PORT -d $NAMESERVER --dport 53 -m state --state NEW -j ACCEPT $SEND -p udp -s $INNERDNS --sport $OPEN_PORT -d $NAMESERVER --dport 53 -j ACCEPT $RECEIVE -p udp -s $NAMESERVER --sport 53 -d $INNERDNS --dport $OPEN_PORT -j ACCEPT Und dann noch einmal für TCP... So, jetzt fehlt nur noch die Schleife für das Generieren von Regeln für mehrere DNS-Server (siehe oben). 41

42 Vorgehen und Umgehen mit ICMP Nach diesem Schema wird Dienst für Dienst definiert entsprechend den Tabellen. Das Skript hat denselben Aufbau wie bei der Personal Firewall. Der Umgang mit ICMP verläuft analog, z. B. #--Fragmentierte Pakete auf allen Schnittstellen iptables -A INPUT --fragment -p icmp -j LOG --log-prefix "Fragmented ICMP: " iptables -A INPUT --fragment -p icmp -j DROP iptables -A FORWARD --fragment -p icmp -j LOG --log-prefix "Forward Fragmented ICMP: " iptables -A FORWARD --fragment -p icmp -j DROP 42

43 NAT - Network Address Translation I Unidirektionales NAT Address -> Address (einfaches NAT) Address/Port -> Address/Port (NAPT) Masquerading (1 Öffentliche Adresse : N lokale Adressen) Bidirektionales NAT Öffentliche Adresse ist "Alias" für interne Adresse Doppeltes NAT Wenn äußerer und innerer Adressbereich sich überlappen Namen für iptables Übersetzung der Absender-Adresse SNAT Übersetzung der Ziel-Adresse DNAT 43

44 NAT - Network Address Translation II Es wird die NAT-Tabelle benutzt, die vollkommen getrennt von der Filter-Tabelle ist. Übersetzung der IP-Adressen erfolgt: Vor dem Routing: PREROUTING-Chain Nach dem Routing: POSTROUTING-Chain NAT für die Absenderadresse: POSTROUTING-Chain für geroutete Pakete OUTPUT-Chain für lokal erzeugte Pakete NAT für die Zieladresse: PREROUTING-Chain vor dem Routing Die OUTPUT-Chain der Filter- und der NAT-Tabelle sind unterschiedlich, obwohl sie denselben Namen haben. 44

45 Die Ketten (Chains) 45

46 Wo wann welche Adresse? Zieladressen-NAT Regeln der PREROUTING-Chain benutzen die ursprünglichen Zieladressen (vor dem Routing) Regeln der INPUT/FORWARD-Chain benutzen die durch PREROUTING veränderten Zieldressen. Das gilt auch für die POSTROUTING-Chain. Absenderadressen-NAT Regeln der POSTROUTING-Chain benutzen die ursprünglichen Absenderadressen. Das Umsetzen der Absenderadresse erfolgt unmittelbar vor dem Verlassen des Systems. Das gilt auch für alle anderen Chains. 46

47 Masquerading (SNAT-Variante) iptables -t nat -A POSTROUTING -o $OUTER... -j MASQUERADE Als externe Adresse wird immer die aktuell gültige Adresse von $OUTER verwendet (über DHCP gesetzt). Weitere Bedingungen... schränken die Anwendbarkeit für NAT ein. Automatisch erfolgt die Adressumsetzung in der Gegenrichtung. Der Tabelleneintrag für NAT wird erst durch das erste Paket erzeugt. 47

48 Beispiel: Internetanbindung über PPP iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE iptables -A FORWARD -i eth0 -o ppp0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i ppp0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT Das NAT wird natürlich nur in der Variante (A) benutzt. Eine Firewall zwischen zwei LANs benötigt dies nicht. 48

49 Proxy-Firewall Es werden Proxies installiert, die zwischen eth0 und eth1 die Daten kopieren und dabei protokollspezifisch Tests bzw. Modifikationen durchführen. Die Regeln der Personal Firewall werden auf die beiden Schnittstellen entsprechend den Diensten ausgerichtet. Die Proxies führen selbst NAT durch. Das Firewall-Skript beschränkt sich daher auf ICMP-Behandlung Kernel-Initialisierung Logging Portumleitung 49

50 Portumleitung Für den Fall, dass ein Proxy auf einem bestimmten Port auf der Firewall arbeitet, können durchlaufende Pakete an einen anderen Port ohne Änderung umgelenkt werden. Dann laufen die Pakete nicht durch die FORWARD-, sondern als lokal empfangene Pakte durch die INPUT-Chain. Beispiel für http-proxy SQUID: iptables -t nat -A PREROUTING -p tcp -i $INNER --dport http -j REDIRECT --to-port 3128 Das führt zu einem transparenten Proxy, d.h. die Clients arbeiten intern mit Port

51 Was noch getan werden könnte... Weiterleiten von System-Log-Einträgen an benachbarte Maschinen, z.b. UDP auf Port 514. Hierzu müssten entsprechende OUTPUT-Regeln dies erlauben. Falls erwünscht kann ein in der Firewall laufender Cache-DNS- Server benutzt werden: dnsmasq Dieser kann auch DHCP, so dass DNS und DHCP von der Firewall abgedeckt werden. Dann müssen die DNS-Pakete von Innen nach Außen gesperrt werden, jedoch von der Firewall nach Außen erlaubt sein. Per DHCP wird dann die Firewall als Router und DNS-Server bekannt gemacht. 51

52 Nun wieder etwas entspannen... 52