[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Verbindungsprobleme

On Wed, 14 Aug 2002 21:19:37 +0200
Jörg Schütter <joerg.schuetter@gmx.de> wrote:

> Hallo Christian,
> 
> baue Dir doch eine eigene Firewall, ohne dieses Script.
> Schau Dir mal meine Firewallkonfiguration an.
> http://mypenguin.bei.t-online.de/security/firewall.html
> 
> 
> On Wed, 14 Aug 2002 20:53:30 +0200
> Christian Schubert <Parnassos@SAILHORSE.in-Berlin.de> wrote:
> 
> > On Wed, 14 Aug 2002 20:10:13 +0200
> > Jörg Schütter <joerg.schuetter@gmx.de> wrote:
> > 
> > > Hallo Christian,
> > > 
> > > versuch mal die Zeile
> > > echo "0" > /proc/sys/net/ipv4/ip_forward
> > > auszukommentieren. Ansonsten verhinderst Du daß das Gateway
> > > als Gateway agieren kann.
> > > 
> > > On Wed, 14 Aug 2002 13:33:28 +0200
> > > Christian Schubert <Parnassos@SAILHORSE.in-Berlin.de> wrote:
> > > 
> > > > Hi all,
> > > > 
> > > > bin gerade dabei ein Gateway mit Woody aufzusetzen und bleibe an
> > > > folgendem Problem hängen:
> > > > 
> [...]
> > > > 
> > > > Das IPTABLES-Skript welches in /etc/ppp/ip-down.d/fw liegt,
> > > > sieht so aus:
> > > > 
> > > > 	$IPTABLES -F
> > > > 	$IPTABLES -X
> > > > 	$IPTABLES -F -t nat
> > > > 	$IPTABLES -F -t mangle
> > > > 	$IPTABLES -t nat -X
> > > > 	$IPTABLES -t mangle -X
> > > > 
> > > > 	$IPTABLES -P INPUT ACCEPT
> > > > 	$IPTABLES -P FORWARD ACCEPT
> > > > 	$IPTABLES -P OUTPUT ACCEPT
> > > > 
> > > > 	$IPTABLES -t nat -P PREROUTING ACCEPT
> > > > 	$IPTABLES -t nat -P POSTROUTING ACCEPT
> > > > 
> > > > 	echo "0" > /proc/sys/net/ipv4/ip_forward
> > > > 
> > > > Das Problem sieht sehr nach Paketfilter aus. [...]
> > > 
> > 
> > Hi Joerg,
> > 
> > danke für Deinen Hinweis. Ein kleiner Test mit der 1 hat bisher ein
> > zufriedenstellendes Ergebnis gebracht. Aber kannst Du ein Gateway
> > mit dem obigen Restore-Skript vorstellen, welches auch noch gut
> > läuft? Wenn ja, wo ist dann zu drehen, damit das Teil das tut was es
> > soll? Von Sicherheit ist in diesem Zustand ja nicht mehr viel
> > übriggeblieben.
> > 
> > Gruß Christian
> > 
> 
> Gruß
>   Jörg
> 
> -- 
> http://www.lug-untermain.de/                                       -
> http://mypenguin.bei.t-online.de/
> 
> Dipl.-Ing. Jörg Schütter
> joerg.schuetter@gmx.de

Das oben genannte IPTABLES-Skipt ist der DOWN-Teil eines
Firewall-Skriptes. Ich bin also gerade dabei mir eine FW-Skript zu
stricken. Dein IPTABLES-Beispiel umgeht den Punkt der externen
IP-Adresse und des up/down wenn das Netzwerk-device (de)aktiviert wird.
Ich habe bei mir unterschiedliche Regeln in /etc/ppp/ip-up.d und in
/etc/ppp/ip-down.d. D.h., es werden entsprechende Regln eingelesen, wenn
sich der Status des devices geändert hat.

Was geschieht bei Deinem Skript, wenn sich die externe IP geändert hat
bzw. das device 'weg' ist und ein interner User externen Kontakt
benötigt? In dem STOP-Teil Deines Skriptes wird 'unset forwarding' auch
mit der 0 aufgerufen. Wie wird dann Deine FW wieder gestartet, wenn Du
DoD verwendest.

Gruß Christian
Reply to: