Re: Routing/NAT

To: debian-user-german@lists.debian.org
Subject: Re: Routing/NAT
From: Peter Baumgartner <open@bssmusic.de>
Date: Wed, 15 Dec 2004 17:03:26 +0100
Message-id: <[🔎] 200412151703.26414.open@bssmusic.de>
In-reply-to: <[🔎] 20041214121525.GA31010@Pinguin.wug-glas.de>
References: <[🔎] 200412141058.51869.open@bssmusic.de> <[🔎] 200412141303.14551.open@bssmusic.de> <[🔎] 20041214121525.GA31010@Pinguin.wug-glas.de>

Am Dienstag, 14. Dezember 2004 13:15 schrieb Andreas Kretschmer:
> am  14.12.2004, um 13:03:14 +0100 mailte Peter Baumgartner folgendes:
> > > Hä? Wo tut der Squid?
> >
> > Der soll die Anfragen aus dem LAN transparent mit Beschleunigung auf den
> > Router weiterleiten. Also: 192.168.0.254:8080 -> 192.168.178.1 ->
> > Internet, so besser ausgedrückt?
>
> Jo, schon klar. Man kann einen Proxy sowohl auf dem Router als auch im
> genatteten Netz betreiben. Ersteres hat den Nachteil, daß man bei der
> Konfig halt aufpassen muß, daß man ihn nicht im Internet prostituiert.
> Sauberer ist auf alle Fälle, das Teil ins LAN oder DMZ zu stellen.

In dem Fall ja DMZ, weil noch der Router dazwischensitzt.

>
> > > Zieh Dir mal in Ruhe http://netfilter rein,
> >
> > unable to determine IP-Address?
>
> kretschmer@tux:~$ dig www.netfilter.org | grep  -i "answer section"  -A 1
> ;; ANSWER SECTION:
> www.netfilter.org.      43141   IN      A       213.95.27.115
>
>
> PS.: sorry, hatte org vergessen.

Macht ja nix, ich habe es auch so gefunden - Tante Gugel weiß da so einiges.
Ich habe folgendes Script gefunden und ausprobiert:
------------------snip---------------------------------
 #! /bin/sh
 
 echo "1" > /proc/sys/net/ipv4/ip_forward # Initialisierung des Forwardings
 
 # Flushen, Löschen, Neuerstellung - nicht vergessen im Script! #
 ################################################################
 iptables -F
 iptables -F -t nat
 
 iptables -F sperre
 iptables -X sperre
 iptables -N sperre
 iptables -F sperre
 
 # first contact #
 #################
 iptables -A sperre -i eth1 -s ! 192.168.56.0/255.255.255.0 -j DROP # Alles 
aus dem lan ohne passende IP wegwerfen
 iptables -A sperre -i eth1 -j ACCEPT # Sonst alles von eth0 erlauben (Hier 
sollte man aufpassen, was man den Usern gewähren will und sich vor Trojanern 
schützen.)
 iptables -A sperre -i lo -s 127.0.0.1/255.0.0.0 -j ACCEPT # Für Loopback wir 
immer alles erlaubt ausser von nicht 127.0.0.1
 iptables -A sperre -i eth0 -s 192.168.56.0/255.255.255.0 -j DROP # Alles aus 
dem Inet mit meinen IPs werwerfen
 
 # acceptstuff #
 ###############
 iptables -A sperre -p tcp --dport 21 -j ACCEPT # ftp erlauben
 iptables -A sperre -p tcp --dport 4100:4115 -j ACCEPT # icq portrange 
erlauben
 
 # Antworten zulassen #
 ######################
 iptables -A sperre -m state --state ESTABLISHED,RELATED -j ACCEPT
 
 # Alles andere abweisen (RFC-konform) #
 # folgende Zeilen garantieren RFC-konforme Antworten. (Port geschlossen), 
aber Antworten sind Antworten. Jedes Paket kann Informationen beinhalten, 
also ist ein DROP an dieser Stelle sicherer, allerdings wird ein DROP von 
Portscannern als gefiltert erkannt und macht den rechner interessanter, 
REJECT, wie es unten angeführt ist, als geschlossen. Jeder möge selbst 
entscheiden..
 #######################################
 iptables -A sperre -p tcp -j REJECT --reject-with tcp-reset
 iptables -A sperre -p udp -j REJECT --reject-with icmp-port-unreachable
 
 # sperre aktivieren #
 #####################
 iptables -A INPUT -j sperre
 iptables -A FORWARD -j sperre
 iptables -P INPUT DROP
 iptables -P FORWARD DROP
 
 iptables -P OUTPUT ACCEPT # output immer annehmen (nochmal ein 
Trojanerhinweis...)  # ????????? was muß da hin??
 iptables -P OUTPUT ACCEPT -t nat
 
 # NAT #
 #######
 iptables -A POSTROUTING -t nat -o eth0 -j MASQUERADE # was rausgeht wird 
maskiert
# iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 4100:4115 -j DNAT --to 
192.168.56.2 # icq soll an einen anderen Rechner geleitet werden 
#               ???? Hm, wieso an einen?
# iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 21 -j DNAT --to 
192.168.0.2 # ftp genauso          # ????Hm, an meinen noch nicht 
aufgesetzten ftp-Server?
 
 echo "Firewall started"

----------------snap------------------

Das scheint, in einer shell gestartet, soweit zu funktionieren, wie iptables 
-L ausgibt. Die Frage ist, ob das schon reicht, so ganz kapiert habe ich das 
noch nicht. Bei Suse würde das dann von Yast nach rc.init.d kopiert, 
ausführbar gesetzt und in die Runlevel verlinkt. Wohin genau und an welche 
Position (etc/rc3.d ca 20, kurz vor exim?) das bei Debian muß, weiß ich auch 
nicht, aber das wird schon noch.
>
Gruß und danke soweit
Peter

Reply to:

Follow-Ups:
- Re: Routing/NAT
  - From: Andreas Kretschmer <andreas_kretschmer@despammed.com>
- Re: Routing/NAT
  - From: Andreas Kretschmer <andreas_kretschmer@despammed.com>
- Re: Routing/NAT
  - From: Andreas Kretschmer <andreas_kretschmer@despammed.com>

References:
- Routing/NAT
  - From: Peter Baumgartner <open@bssmusic.de>
- Re: Routing/NAT
  - From: Peter Baumgartner <open@bssmusic.de>
- Re: Routing/NAT
  - From: Andreas Kretschmer <andreas.kretschmer@schollglas.com>

Prev by Date: Re: /etc/profile und PS1
Next by Date: Re: apt-proxy-import problem
Previous by thread: Re: Routing/NAT
Next by thread: Re: Routing/NAT
Index(es):
- Date
- Thread