[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

AW: [Debian] Firewall blockiert Namensaufloesung

Hallo Christian

> Ähh.. Sorry.
> Natürlich übernimmt mein Rechner auch das Routing & Masquerading
> für meinen
> Mac...
> Aber wie schon geschrieben: Ich habe jetzt das Paket ipmasq installiert,
> welches meinem ersten Eindruck nach recht restriktive ipchains-Regeln
> aufsetzt, und nun werde ich erstmal etwas genauer das Was, Wo und Wie
> erforschen...
Noch ein "kleiner" Hinweis. Meines wissens nach brauchst du das Paket ipmasq
gar nicht. Du musst lediglich im Kernel die Option Masquerading
eingeschaltet haben und ip-forwarding muss eingeschaltet sein. In der c't
gabs irgendwann im vergangenen Jahr mal einen Arrikel "Netzwek in Ketten".
Vielleicht findest du den noch im Archiv.
Hier ein Beispiel:

ipchains -F
ipchains -P input REJECT
ipchains -P output REJECT
ipchains -P forward REJECT
ipchains -A input -i lo -j ACCEPT
ipchains -A output -i lo -j ACCEPT
# Abschnitt http: Port 80
#
# rule 01: WWW-Anfragen der Clients aus dem privaten Netz erlauben
# rule 02: diese werden dann maskiert
# rule 03: und dann durch die output-chain gelassen
# rule 03: Antwortpakete durch die input-chain schleusen (ohne Syn-Bit!)
# rule 04: und nach demask. durch die output-chain (auch ohne Syn-Bit!)
#
ipchains -A input -s 192.168.0.0/21 1024: --dport 80 -p tcp -i eth1 -j
ACCEPT
ipchains -A forward -s 192.168.0.0/21 1024: --dport 80 -p tcp -i eth0 -j
MASQ
ipchains -A output -s xxx.xxx.xxx.xxx 1024: --dport 80 -p tcp -i eth0 -j
ACCEPT
ipchains -A input --sport 80 -d xxx.xxx.xxx.xxx 1024: -p tcp -i eth0 -j
ACCEPT ! -y
ipchains -A output --sport 80 -d 192.168.0.0/21 1024: -p tcp -i eth1 -j
ACCEPT ! -y

eth0 entspricht dabei deiner ISDN-Karte. Beachte bitte, dass bei den Regeln
3 und 4 das Paket bereits bzw. noch die IP der externen Schnittstelle hat.
Beachte weiterhin, dass die Standard-Policy der input chain nicht auf DENY,
sondern auf REJECT steht. Damit bekommt der Absender eine Nachricht über die
Ablehnung. Das hat folgenden Sinn: Beginnst du eine ftp-Sitzung auf Port 21,
wird danach der Datenkanal auf Port 20 mit aktivem SYN-Bit von aussen
aufgebaut. Bei DENY kannst du da ewig warten. Bei REJECT besteht die Chance,
dass der ftp-Server automatisch in den passive-Modus zurückfällt. Beide
Seiten benutzen dann Ports oberhalb 1024.

HTH

Harald


-- 
-----------------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie bitte eine
E-Mail an debian-user-de-request@lehmanns.de die im Subject
"unsubscribe <deine_email_adresse>" enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@Lehmanns.de
-----------------------------------------------------------

849 eingetragene Mitglieder in dieser Liste.
Reply to: