[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [Debian] ipchains



Hallo,

At 24.07.2001, Gerhard Engleder wrote:
> Ich will für mein Netzwerk eine Firewall basteln, allerdings besitze ich
> eine ADSL Leitung mit dynamischer IP.

Du willst einen Paketfilter basteln und da ist es kein Problem, wenn
sich deine IP Adresse aendert.

> Deshalb möchte ich wissen ob es mögliche ist mit ipchains (Linux 2.2.18)
> Regeln für dynamische IP's aufzustellen, oder ist mit Linux 2.4.x möglich?

Wenn Du unbedingt (ich sehe dafuer keinen Grund) die uzugewiesene IP
Adresse in deine ipchains Regeln mit einbauen willst, kannst Du das
beispielsweise so:

PPP0=$(/sbin/ifconfig ppp0 | grep 'inet addr:' | sed 's/.*inet addr:\([0-9.]*\).*/\1/g')

Dann musst Du dein Paketfilterscript bei jedem Verbindungsaufbau neu
starten (nicht so schoen und auch nicht noetig).

Das ganze koenntest Du dann vom ip-up Script erledigen lassen.

> Beziehungsweise wie erhalte ich in einem Shell-Script die IP von
> ppp0

Beispielsweise so, wie oben beschrieben. Dem ip-up Script wird die IP
Adresse aber schon uebergeben. Das kannst Du auch nutzen. Ich rate
allerdings (wenn es dafuer keinen zwingenden Grund gibt) davon ab, deine
Filterregeln so zu schreiben.

Wenn Du keine Dienste anbieten willst, ist der erste Schritt, die
Konfiguration deines Rechners so anzupassen, dass Dienste erst garnicht
angeboten werden.

Als naechsten Schritt kannst Du beispielsweise noch TCP Pakete mit
gesetztem Syn Bit rausfiltern, die auf deinem ppp Interface rein kommen
(ipchains und die Option -y).

Viel mehr braucht es dann normalerweise eigentlich nicht.

> (habe leider zur Zeit keine Zeit um mich mit dem Programmieren
> von Shell-Scripten zu beschäftigen)?

Diese Mailingliste dient aber nicht dazu, sowas zu kompensieren.

> Ich verwende zur Zeit noch 2.2.18. Soweit ich weiß wurde bei 2.4
> der Paketfilter verändert und verbessert.

Ich wuerde so pauschal nicht sagen, dass er verbessert wurde. Ich fuer
meinen Teil werden keinen 2.4´er Kernel fuer Paketfilter einsetzen.
Ausserdem ist so eine Pauschale Aussage einfach falsch.

> Wie heißt das neue Tool für
> den Paketfilter von 2.4, und gibt es dazu schon HOWTO's (Hab bis
> jetzt keine gefunden)?

Viele deiner Fragen wurden hier bereits mehrfach beantwortet. Eine
Sucher auf http://www.google.com/ haette dir genau so schnell weiter
geholfen, wie eine Recherche mit http://groups.google.com/. Und das
Mailinglisten Archiev hast Du wohl auch nicht angesehen :-(

iptables suchst Du wohl.

Unter http://netfilter.kernelnotes.org/ solltest Du auch noch
Informationen dazu finden.

Eine Suche mit Google haette dir das schneller gesagt :-(

Gruss, Guido
-- 
An dieser Stelle nochmal ein Aufruf an alle: wenn ihr nicht sicher seid,
dann POSTET HALT NICHT.  Es ist niemandem damit geholfen, wenn hier
hundert Leute ihr Halbwissen posten. (FvL in doc - Message-ID:
<slrn8moth3.7al.fefe@baileys.convergence.de>)

Attachment: pgpuzCkmRG3AX.pgp
Description: PGP signature


Reply to: