[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [Debian]:firewall: ipchains rules



On Wed, 17 May 2000, Joerg Friedrich wrote:
> On Wed, 17 May 2000, Matthias Wolle wrote:
> 
> > Hallo 
> > 
> > Ich wollt bevor ich eine feste öffentliche IP bekomme meine Rechner dicht machen
> > leider komme ich trotz http://www2.little-idiot.de/firewall/zusammen.html
> > nicht weiter :(
> > 
> > folgende Situation:
> > linux 2.2 mit 2.2.14 kernel als firewall und router
> > eth0 =192.168.65.23 per dhcp (Internet-connection)
> > eth1=192.168.1.1	  Intrannet
> > bind laueft auf der firewall
> > es soll kein Dienst der firewall  (bis auf ssh,  hat aber nicht
> > prio)  aus dem Internet erreichbar sein 
> > aus dem Intranet soll ins internet geroutet werden
> > ping/traceroute/icq/quake3/irc ... etc soll weiterhin funktionieren
> 
> ok, mal ein paar fragen vorneweg: 

ich benutze den router schon ein halbes Jahr habe mir aber nie gedanken
über ne firewall gemacht 

>  - Sind die Routen insbesondere die default-route richtig gesetzt?
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.65.0    0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
0.0.0.0         192.168.65.254  0.0.0.0         UG    0      0        0 eth0

>  - ist ip_masquerading im kernel aktiviert?
ja

>  - sind die module fuer ftp, quake ... im masquerading vorhanden?

ahhm wo find ich solche module? im  kernel? 
bis jetzt lief der router per NAT 

>  - klappt der zugriff VON der firewall nach extern?
nope

mit den alten regeln die alles offen haben klappt alles :))

z.Z. geht ping/Telnet vom LAN zum router (auf 192.168.1.1) 

ping von der firewall zu eth0/1 bringt
ping: sendto: operation not permitted 

ping vom  router ins lokale Netz funzt
also schon mal nicht schlecht

> 
> als erstes mach Dir das leben leichter und definiere in deinem
> firewall-script variablen. so kannst Du auf veraenderte ipadressen
> einfacher reagieren, und da Du per dhcp eine adresse zugewiesen bekommst,
> musst Du sowieso dem firewall-script die adresse uebergeben und die
> firewall-rules anpassen lassen.

das hat ich noch vor :-))
erstmal sollte das ganze funktionieren bevor ich mehr energie in scripte stecke

> also z.b.
> 
> ---
> #/bin/sh
> 
> IPCHAINS=/sbin/ipchains # ich bin schreibfaul :-)
hehe =)
> localhost="127.0.0.1/8"
> intranet="192.168.1.0/24"
> ip_intern="192.168.1.1/32"
> if_intern="eth1"
> any="0.0.0.0/0"
> ip_extern="192.168.65.23/32" # ggf. ip_extern=$1 wenn die ipadresse dem
> script als parameter uebergeben werden soll.
> if_extern="eth0"
> 
> # und dann mal los.
> #
> 
> $IPCHAINS -P input DENY
> $IPCHAINS -P output DENY
> $IPCHAINS -P forward DENY
> ...
> ----
> 
> Meine Vorgehensweise:
> 
> zum testen wuerde ich erst mal alles auf accept setzen und nur das
> masquerading einrichten. wenn das dann problemlos laeuft, kannst Du es
> angehen, schritt fuer schritt die firewall aufzubauen. Wenn Du alles
> gleichzeitig probierst, ist es immer unuebersichtlich und erschwehrt die
> fehlersuche. Ausserdem bist Du ja wohl noch nicht mit einer oeffentlichen
> ip verbunden, das risiko ist also gering

ich hab noch ein problem mit input, forward und output
soweit ich das verstanden habe geht jedes ankommende Paket durch alle 3 Filter
bis es auf eine entsprechende regel stoesst
meine frage: wenn ich in Input ein Packet akzeptiere kann ich das dann noch
forwarden(masq)? 
eigentlich nicht oder?

Gruss Matthias

------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie
bitte eine E-Mail an majordomo@jfl.de die im Body
"unsubscribe debian-user-de <deine emailadresse>"
enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@jfl.de
------------------------------------------------
Anzahl der eingetragenen Mitglieder:     723


Reply to: