Heimnetz

interne IP-Adressen aus einem zur privaten Nutzung reservierten Bereich,
etwa 192.168,.x.y
x : bis zu 256 IP-Netze (0..255)
y : 254 Adressen (reserviert: 0 Netzadresse, 255 Broadcast-Adresse)

SOHO-Router (Small Office / Home Office):
- stellt Internet-Verbindung stellvertretend für das ganze Netz her
- betreibt NAT (Network Address Translation) -> nach aussen ist nur der Router sichtbar!

1. Simpel

Nur ein IP-Netz (192.168.1.y)
- Server-Adresse: 1
- Router-Adresse: 2
- Client-Adressen: ab 20 (mittels DHCP)

DSL/ISDN
    |
Router (192.168.1.2)
    |
Switch/Hub +- Server (192.168.1.1)
    |
    +- PC1 (DHCP aus 192.168.1.z)
    |
    +- ...
    |
    +- PCn (DHCP aus 192.168.1.z)

2. Mehrere PCs am DSL-Anschluss (über Hub/Switch)

Nicht zu empfehlen!
- jeder PC muss einzel abgesichert werden
- unbekannt welche Pakete nach draussen ins WAN (DSL) gelangen!

3. Eigener Hub am DSL-Anschluss

Eigener Hub am DSL-Anschluss, über den weitere PCs direkten Internet-Zugriff bekommen.
Der Router schützt das internerne Netz.
Weitere PCs mit zweiter Netzwerkkarte können über zweiten Hub/Switch direkt ans Internet.
Diese benötigen eine Personal-Firewall!
Tip: PC vom privaten Netz (erste Netzwerkkarte) während der Internet-Verbindung trennen!

DSL/ISDN
    |
Switch/Hub +- - - - - - - - - - - - - - - - - - - - - - -
           |                                             |
           +- Router (192.168.1.2)
                 |                                       |
              Switch/Hub +- Server (192.168.1.1)
                         |                               |
                         +- PC1 (DHCP aus 192.168.1.z)
                         |                               |
                         +- ...
                         |                               |
                         +----------------------------- PCn (DHCP aus 192.168.1.z)

4. Server zusätzlich als Filter

Server filtert ungewünschte Pakete von grundsätzlich per Router ins Netz gereichten Diensten
oder blockt Verbindungen von drinnen nach draussen.
Server benötigt zweite Netzwerkkarte mit einer IP-Adresse aus einem anderen Netz!

DSL/ISDN
    |
Switch/Hub +- - - - - - - - - - - - - - - - - - - - - - -
           |                                             |
           +- Router (192.168.2.2)
                 |                                       |
              Server (192.168.2.1)
                     .............                       |
              Server (192.168.1.1)                       
                 |                                       |
              Switch/Hub +- PC1 (DHCP aus 192.168.1.z)   
                         |                               |
                         +- ...
                         |                               |
                         +----------------------------- PCn (DHCP aus 192.168.1.z)

Ausgehende Verbindungen auf Port 25 (Mailversand per SMTP) verhindern:

  iptables -A FORWARD -p tcp -m state --state NEW -s 192.168.1.0/24 --dport 25 -j DROP

nicht aber an den SMTP-Server des Providers (z.B. T-Online) -> Ausnahmeregel -> höhere Prioritaet!:

  iptables -I FORWARD -p tcp -m state --state NEW -s 192.168.1.0/24 -d smtp.t-online.de -j ACCEPT

Zugriff von aussen auf interne Dienste nur selektiv zulassen: (z.B. via ssh, port 22)
und alle Pakete verwerfen, die nicht von der IP des Arbeitgebers kommen!

Eingehende SSH-Verbindungen (Port 22) generell verbieten:

  iptables -A INPUT -p tcp -m state --state NEW --dport 22 -j DROP

höher priorisierte Ausnahme, die nur für IP-Adresse <1.2.3.4> (Host) gilt:

  iptables -I INPUT -p tcp -m state --state NEW -s <1.2.3.4> --dport 22 -j ACCEPT

Zusätzlich alle ausgehenden Verbindungen maskieren (NAT)
-> evtl. erforderlich wegen Router (kennt direkt nur Netz 182.168.2.y)!

  iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j MASQUERADE