Zwar kann dies von System zu System variieren, jedoch sind häufig die folgenden Applikationsprotokolle notwendig: SSH (Port 22/tcp), die sichere Remote-Shell, HTTPS (Port 443/tcp), der sichere Webzugang zum einen oder anderen Administrations-Web-Frontend und SNMP (Port 161/udp), das Simple Network Management Protocol, das oft erforderlich ist, da viele Monitoring-Systeme darauf basieren. Davon ausgehend, dass die Administration des Systems nur von innen geschieht, können Sie das Interface für den eingehenden Traffic eingrenzen. Dies bringt zusätzliche Sicherheit. Zusätzlich können Sie den Zugriff auf das LAN-Subnetz eineschränken. Unter dem Strich ergibt sich also folgende Multiport-Regel:
# Administration ip6tables -A INPUT -i $LAN_IF -s $LAN_NET -p tcp -m multiport --dport 22,80,443 -j ACCEPT
Je nach Szenario dient die Firewall als Gateway zur Außenwelt selbst als DNS-Proxy oder aber die internen Systeme nutzen einen dedizierten DNS-Server – dieser kann im LAN selbst oder im Internet stehen. Die DNS-Kommunikation kann bei Bedarf weiter eingeschränkt werden. Im Beispielszenario erlauben Sie jedoch den DNS-Traffic sowohl auf die Firewall (für den Fall, dass hier ein DNS-Server installiert ist) als auch den Traffic durch die Firewall hindurch ins Internet. Außerdem muss der DNS-Traffic von der Firewall ins Internet erlaubt werden:
# DNS-Traffic ip6tables -A INPUT -i $LAN_IF -s $LAN_NET -p udp --dport 53 -j ACCEPT ip6tables -A FORWARD -i $LAN_IF -s $LAN_NET -p udp --dport 53 -j ACCEPT ip6tables -A OUTPUT -p udp --dport 53 -j ACCEPT
Sind nur interne Systeme vorhanden, die Zugriff via Browser und E-Mail-Client ins Internet benötigen, ist dies in drei Regeln abgehandelt beziehungsweise mit der Multiport-Option in einer einzigen Regel. Allerdings sieht das Beispielszenario vor, den Zugriff auf den Server in der DMZ über HTTP und HTTPS sowie SMTP zu erlauben. "Brutto" ergibt das sechs Regeln. Mit der Multiport-Option lässt sich das in zwei Regeln zusammenfassen (Listing 1).
Listing 1 Regions
01 # Web und Mail aus dem LAN 02 ip6tables -A FORWARD -i $LAN_IF -s $LAN_NET -p tcp -m multiport --dport 25,80,443 -j ACCEPT 03 # Web und Mail aus dem Internet 04 ip6tables -A FORWARD -i $WAN_IF -s 2000::/3 -d $DMZ_NET -p -m multiport tcp --dport 25,80,443 -j ACCEPT
An dieser Stelle wäre es möglich, auch die ausgehenden Interfaces zu unterscheiden, wenn man dies möchte. In den beiden Regeln sind zwei wichtige Einschränkungen des jeweiligen Filters enthalten. Zum einen wird die Absenderadresse auf den von der IANA definierten Bereich der Global-Unicast-Adressen beschränkt und zum anderen wird hier der Zugriff auf das DMZ-Netz zur Bedingung gemacht, um den Traffic hindurch zu lassen. Dies bedeutet im Umkehrschluss, dass Traffic von außen auf die internen Systeme nicht erlaubt wird. Wenn weitere Applikationen benötigt werden, ist das Prinzip grundsätzlich immer dasselbe wie gezeigt.