[Debian]: Firewall & Masquerading RIESENProbleme!
Hallo,
ich versuche mittlerweile schon seit ein paar (!) Wochen einen NT
Rechner ueber meine Linux Box ins Internet zu bringen.
Ich habe mir mit dotfile ipfwadm eine Datei erzeugt und sie nach
/etc/ppp/firewall kopiert. In der /etc/ppp/ip-up habe ich auch den .
/etc/ppp/firewall Eintrag gemacht. Aber nix ging.
Meine /etc/ppp/firewall sieht so aus (tut mir echt leid ist etwas
lang...)
#---------->General Settings<----------
# General settings
# ISDN ISP via PPP, dynamic IP address, diald
# Initialization
# Define some variables to make things a bit clearer below
# Any system anywhere
export ANY="0.0.0.0/0"
# The Internet connection
export INET="-W ippp0"
# The local network port
export LETH="-V 192.168.0.1 -W eth0"
# The local network
export LNET="192.168.0.1/255.255.255.0"
# The firewall (this system on the local network)
export FWALL="192.168.0.1/32"
# The firewall's Internet address (if known or determinable)
export INET_IP="$ANY"
# Some ipfwadm flags for the TCP protocol
export OpenNewConn="-y"
export ConnEstablished="-k"
# Reset to known state
/sbin/ipfwadm -I -f # flush existing input rules
/sbin/ipfwadm -O -f # flush existing output rules
/sbin/ipfwadm -F -f # flush existing forwarding rules
# Set default
policy
# default deny until firewall setup is
completed...
/sbin/ipfwadm -I -p
deny
/sbin/ipfwadm -O -p
deny
################################## Was sollen obige 2 Zeilen bedeuten?
########################
Soll das heissen, dass alles verboten ist und deshalb nix geht?
Nun, ich habe auch schon die Version ausprobiert wo diese 2 Zeilen
auskommentiert waren und ich kann euch sagen, dass es auch nicht
funktioniert hat!
Es ist zum verzweifeln.
#---------->ISP
Settings<----------
#
Anti-Spoofing
/sbin/ipfwadm -I -a deny -o $INET -S
127.0.0.0/8
/sbin/ipfwadm -I -a deny -o $INET -S
$LNET
# per RFC1597 (see
http://andrew2.andrew.cmu.edu/rfc/rfc1597.html)
# the following network addresses must not be routed to the
Internet:
#
10.0.0.0/8
/sbin/ipfwadm -O -a reject $INET -S
10.0.0.0/8
/sbin/ipfwadm -O -a reject $INET -D
10.0.0.0/8
/sbin/ipfwadm -I -a deny -o $INET -S
10.0.0.0/8
/sbin/ipfwadm -I -a deny -o $INET -D
10.0.0.0/8
#
172.16.0.0/12
/sbin/ipfwadm -O -a reject $INET -S
172.16.0.0/12
/sbin/ipfwadm -O -a reject $INET -D
172.16.0.0/12
/sbin/ipfwadm -I -a deny -o $INET -S
172.16.0.0/12
/sbin/ipfwadm -I -a deny -o $INET -D
172.16.0.0/12
#
192.168.0.0/16
/sbin/ipfwadm -O -a reject $INET -S
192.168.0.0/16
/sbin/ipfwadm -O -a reject $INET -D
192.168.0.0/16
/sbin/ipfwadm -I -a deny -o $INET -S
192.168.0.0/16
/sbin/ipfwadm -I -a deny -o $INET -D
192.168.0.0/16
#---------->IP Masquerade
Settings<----------
# IP-Masq
settings
# Load the masquerade support modules for certain
services
/sbin/modprobe
ip_masq_cuseeme
/sbin/modprobe
ip_masq_ftp
/sbin/modprobe
ip_masq_irc
/sbin/modprobe
ip_masq_raudio
/sbin/modprobe
ip_masq_vdolive
# Allow forwarding of local network
traffic
/sbin/ipfwadm -F -a accept $LETH -S $LNET -D
$LNET
# Block forwarding certain traffic that shouldn't go out
anyway
# reject rather than deny, to aid
troubleshooting
/sbin/ipfwadm -F -a reject $INET -S $LNET -D
$LNET
/sbin/ipfwadm -F -a reject $INET -S $LNET -D
10.0.0.0/8
/sbin/ipfwadm -F -a reject $INET -S $LNET -D
172.16.0.0/12
/sbin/ipfwadm -F -a reject $INET -S $LNET -D
192.168.0.0/16
#---------->Allow/Services
(Global)<----------
# Global Services
Allowed
# allow anyone on the local net to request any tcp port from any
Internet host
/sbin/ipfwadm -O -a accept $INET -P tcp -S $INET_IP -D $ANY
1:65535
/sbin/ipfwadm -I -a accept $INET -P tcp $ConnEstablished -D $INET_IP -S
$ANY 1:655
35
# allow ftp-data connection back in to anyone on the local net from any
Internet h
ost
/sbin/ipfwadm -I -a accept $INET -P tcp -S $ANY ftp-data -D $INET_IP
1024:65535
/sbin/ipfwadm -O -a accept $INET -P tcp $ConnEstablished -D $ANY
ftp-data -S $INET
_IP
1024:65535
#---------->Placeholder<----------
# Default Internet
Policy
# allow traceroute to send packets to the
Internet
/sbin/ipfwadm -O -a accept $INET -P udp -S $INET_IP -D $ANY
33434:33523
# Default policy: allow all traffic unless explicitly
blocked
/sbin/ipfwadm -I -p
accept
/sbin/ipfwadm -O -p
accept
#
# End of Firewall
Configuration
Man muss doch die isdnutils nach einer Aenderung der /etc/ppp/firewall
nicht neu starten oder?
Die /etc/ppp/firewall wird doch bei jedem Connect frisch eingelesen oder
sehe ich das falsch?
Auf meine oben beschriebenen Probleme kann sich da auch nicht auswirken
da ich es mit Neustart und ohne versucht habe.
/etc/init.d/isdnutils stop/start habe ich ausgefuehrt.
Hat jemand ein LAN am laufen wo er die Moeglichkeit hat von einer
Windows Kiste ueber eine Linux Box ins Internet zu kommen?
Ich bin am Verzweifeln!!!!!!!!!!!!!
Was mache ich falsch. Wo steckt der Fehler.
Ich habe mir mit dotfile ipfwadm schon x verschiedene Konfigurationen
generieren lassen aber noch keine hat funktioniert.
Bitte dringlichst um HILFEEEEEEEEEEEEEEEEee
Christian
------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie
bitte eine E-Mail an majordomo@jfl.de die im Body
"unsubscribe debian-user-de <deine emailadresse>"
enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@jfl.de
------------------------------------------------
Anzahl der eingetragenen Mitglieder: 662
Reply to: