Hallo,
Da gehen wir doch mal die einzelnen Forderungen durch, inwieweit die erfüllbar sind…
Das erfüllt sich dadurch, daß man auf dem Router nur diese beiden Ports mit einem Portforwarding durchschaltet. Alle anderen Dienste dürfen doch ruhig auf diesem Interface hören, da ja trotzdem kein Paket dahin kommen wird. SSH und HTTPS Dienste hören standardmäßig auf allen Interfaces.
Das erfüllt sich von allein, indem man nur die Dienste installiert, die man braucht. Die dabei automatisch entstehenden Firewall-Regeln öffnen kein Forwarding oder Routing, sondern ausschließlich die Ports, auf denen etwas hören muß. Wenn Sie die Ports wissen wollen: der SDB-Artikel http://sdb.univention.de/content/2/18/de/auf-welche-tcp_udp_ports-des-ucs-masters-muessen-andere-ucs_system-zugreifen-koennen.html?highlight=ports nennt alle Ports, die nötig sind.
Das kriege ich nicht entwirrt. Auf Port 443 und/oder 80 hört das Webinterface der Management Console, und das sollte auch so bleiben, damit man seinen Host auch noch managen kann. Deshalb eine schlechte Idee, diese Ports “über Squid laufen” zu lassen (ich denke es ist “transparent Proxy” gemeint). Besser man nimmt Squid in der Standardkonfiguration, da hört er auf 3128 und man muß das eben den Clients mitteilen. Ansonsten muß man die Ports 443 und 80 nicht “für nach draußen” sperren, denn IP Forwarding ist doch ohnehin aus.
Dafür hat UCS meines Wissens nach keine direkte Einstellung. Aber man muß dafür nicht gleich den gesamten Firewall abschießen. Wenn man Firewall-Regeln von Hand hinzufügen will, schreibt man sie in die Datei /etc/security/packetfilter.d/50_local.sh
hinein. Diese Datei wird durch UCS nicht gepflegt, sondern einfach Wort für Wort in die Konfiguration übernommen. Die anderen beiden Dateien (10_univention-firewall_start.sh und 80_univention-firewall_policy.sh) werden davor bzw. danach ausgeführt. Durch das System der Nummerierung kann man durch weitere Dateien auch Einstellungen vor allen anderen (00-09) oder nach allen anderen (81-99) ausführen lassen.
Das sollte eigentlich auch problemlos gehen. Auch dafür muß nichts geroutet oder am Firewall konfiguriert werden. Wenn man auf dem Server mit Hilfe der drei UCR-Variablen “dns/forwarder1…3” die Hosts einträgt, die uns der Provider als DNS-Hosts gegeben hat, wird der Server von selbst einen DNS Proxy aufsetzen (univention-bind-proxy), an den alles weitergegeben wird, das sich in der Domain nicht auflösen läßt, und der die Anfragen nach außen schickt, wenn er die Ergebnisse nicht schon im Cache hat. Alle Hosts im inneren Netz müssen per DHCP nur unseren Server als einzigen DNS-Ansprechpartner bekommen, das stellt man am DHCP Service ein.
Ich hoffe ich hab die Gesamtaufgabe einigermaßen erfaßt? Und keine Unklarheiten dazugetan?
Viele Grüße,
Frank Greif.