Re: [Debian]:firewall: ipchains rules
On Wed, 17 May 2000, Joerg Friedrich wrote:
> On Wed, 17 May 2000, Matthias Wolle wrote:
>
> > Hallo
> >
> > Ich wollt bevor ich eine feste öffentliche IP bekomme meine Rechner dicht machen
> > leider komme ich trotz http://www2.little-idiot.de/firewall/zusammen.html
> > nicht weiter :(
> >
> > folgende Situation:
> > linux 2.2 mit 2.2.14 kernel als firewall und router
> > eth0 =192.168.65.23 per dhcp (Internet-connection)
> > eth1=192.168.1.1 Intrannet
> > bind laueft auf der firewall
> > es soll kein Dienst der firewall (bis auf ssh, hat aber nicht
> > prio) aus dem Internet erreichbar sein
> > aus dem Intranet soll ins internet geroutet werden
> > ping/traceroute/icq/quake3/irc ... etc soll weiterhin funktionieren
>
> ok, mal ein paar fragen vorneweg:
ich benutze den router schon ein halbes Jahr habe mir aber nie gedanken
über ne firewall gemacht
> - Sind die Routen insbesondere die default-route richtig gesetzt?
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.65.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
0.0.0.0 192.168.65.254 0.0.0.0 UG 0 0 0 eth0
> - ist ip_masquerading im kernel aktiviert?
ja
> - sind die module fuer ftp, quake ... im masquerading vorhanden?
ahhm wo find ich solche module? im kernel?
bis jetzt lief der router per NAT
> - klappt der zugriff VON der firewall nach extern?
nope
mit den alten regeln die alles offen haben klappt alles :))
z.Z. geht ping/Telnet vom LAN zum router (auf 192.168.1.1)
ping von der firewall zu eth0/1 bringt
ping: sendto: operation not permitted
ping vom router ins lokale Netz funzt
also schon mal nicht schlecht
>
> als erstes mach Dir das leben leichter und definiere in deinem
> firewall-script variablen. so kannst Du auf veraenderte ipadressen
> einfacher reagieren, und da Du per dhcp eine adresse zugewiesen bekommst,
> musst Du sowieso dem firewall-script die adresse uebergeben und die
> firewall-rules anpassen lassen.
das hat ich noch vor :-))
erstmal sollte das ganze funktionieren bevor ich mehr energie in scripte stecke
> also z.b.
>
> ---
> #/bin/sh
>
> IPCHAINS=/sbin/ipchains # ich bin schreibfaul :-)
hehe =)
> localhost="127.0.0.1/8"
> intranet="192.168.1.0/24"
> ip_intern="192.168.1.1/32"
> if_intern="eth1"
> any="0.0.0.0/0"
> ip_extern="192.168.65.23/32" # ggf. ip_extern=$1 wenn die ipadresse dem
> script als parameter uebergeben werden soll.
> if_extern="eth0"
>
> # und dann mal los.
> #
>
> $IPCHAINS -P input DENY
> $IPCHAINS -P output DENY
> $IPCHAINS -P forward DENY
> ...
> ----
>
> Meine Vorgehensweise:
>
> zum testen wuerde ich erst mal alles auf accept setzen und nur das
> masquerading einrichten. wenn das dann problemlos laeuft, kannst Du es
> angehen, schritt fuer schritt die firewall aufzubauen. Wenn Du alles
> gleichzeitig probierst, ist es immer unuebersichtlich und erschwehrt die
> fehlersuche. Ausserdem bist Du ja wohl noch nicht mit einer oeffentlichen
> ip verbunden, das risiko ist also gering
ich hab noch ein problem mit input, forward und output
soweit ich das verstanden habe geht jedes ankommende Paket durch alle 3 Filter
bis es auf eine entsprechende regel stoesst
meine frage: wenn ich in Input ein Packet akzeptiere kann ich das dann noch
forwarden(masq)?
eigentlich nicht oder?
Gruss Matthias
------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie
bitte eine E-Mail an majordomo@jfl.de die im Body
"unsubscribe debian-user-de <deine emailadresse>"
enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@jfl.de
------------------------------------------------
Anzahl der eingetragenen Mitglieder: 723
Reply to: