= Konfiguration der zyfw-usg.p21.net [[PageOutline(2-6)]] == Wesentliche Einstellungen DNS:: \\ > es können //leider nur 8// DNS-Resolver zum forwarding eingetragen werden (die !ZyWall 2plus kann immerhin 14) Session Control:: Zugriffspfad: `Configuration->Security Policy->Session Control` \\ Haken setzen bei Einstellung `Enable Session Limit`, an der Seiten-Unterkannte `Apply` drücken statische Routen:: //leider// sind keine Namen möglich, max 128 Einträge, `zysh` Kommandos: * zwbvpn: `ip route 172.18.205.0 255.255.255.0 172.16.0.22` * zwb Verw : `ip route 192.168.0.0 255.255.255.0 172.16.0.22` * zwb web br: `ip route 192.168.40.0 255.255.255.0 172.16.0.22` * zwb virbr: `ip route 192.168.42.0 255.255.255.0 172.16.0.22` * zwb intr: `ip route 192.168.100.0 255.255.255.0 172.16.0.22` * mt-nest: `ip route 10.0.0.0 255.0.0.0 172.16.0.22` * tinc vpn: `ip route 172.16.11.0 255.255.255.0 172.16.0.22` == Konfiguration absichern gegen Zugriffe von außen Telnet:: abschalten FTP:: Policy mit `deny ALL` und davor `Zugriff nur für LAN1` SSH:: Policy mit `deny ALL` und davor `Zugriff nur für LAN1` WWW:: !http:// (Port 80) abschalten \\ !https:// umstellen auf Port 2443, damit Port 443 für Server-Betrieb frei bleibt, \\ Security-Policy erstellen mit `deny ALL` und davor `Zugriff nur für LAN1`, \\ evtl. reicht die Policy schon aus, um das WAN-Serverport frei zu machen, aber ggf. werden SSL VPN Applikationen gewünscht, welche dann ebenfalls über den SSL-Port der ZyWALL gehen und dann doch den WAN-Port blockieren. \\ An der Seiten-Unterkannte `Apply` drücken. Admin-Passwort, Admin-User:: über das Web-Interface unter `Configuration->Object->User/Group` den Admin-User `admin` editieren und dort das Passwort ändern oder über die serielle Console/SSH/Web-Console mit folgenden Befehlen das Passwort ändern: {{{ Router> configure terminal Router(config)# username admin password strengGeheim user-type admin Router(config)# exit Router# _ }}} Security-Policies:: Unter `Configuration->Security Policy->Policy Control` den Haken bei `Enable Policy Control` setzen und alle nicht benötigten Policies abschalten, initial sinnvoll erscheinen folgende (welche nicht abgeschaltet werden): * `Default` auf `deny` setzen (nicht abschaltbar) * `LAN1_Outgoing` * `LAN1_to_Device` * `Guest_Outgoing` an der Seiten-Unterkannte `Apply` drücken UPnP:: abschalten; wenn eines der `no ...` Kommandos fehl schlägt, war das Objekt nicht zugelassen {{{ Router> configure terminal Router(config)# ip upnp Router(config-upnp)# no upnp-igd activate Router(config-upnp)# no nat-pmp activate Router(config-upnp)# no bypass-firewall activate Router(config-upnp)# no listen-interface lan1 Router(config-upnp)# no listen-interface lan2 Router(config-upnp)# no listen-interface guest Router(config-upnp)# no listen-interface dmz Router(config-upnp)# exit Router(config)# exit Router# _ }}}