Re: Aufsetzen einer überbrückenden Firewall
On Tue, Jan 13, 2009 at 12:11:09PM +0100, Andreas Carduck wrote:
Zu allererst: eigentlich sollte jeder der Listenteilnehmer hier dir eine
Empfangsbestaetigung schicken, damit Du solchen Unsinn auf einer Mailing
Liste kuenftig unterlaesst. Gibt es babylon.pfm-mainz.de als X11R3 Remailer
noch? Grrrr...
> Betreibe ein Debian 2.6.18-6-k7.
> Ich habe ein weiteres System in einer VMWare laufen und möchte nun eine
> Bridge Firewall zwischen der eth0 und der vmnet1 Schnittstelle mit
> IPTables und Snort_inline betreiben.
> In diversen Foren hieß es immer das Kernelpatches bei Debian ab dem
> 2.4.xxer Kernel dafür nicht mehr nötig seien, allerdings beschreibt das
> Manual das ich von IPTables habe genau meinen derzeitigen Stand
> (entweder geht der gesammte Verkehr oder gar keiner durch, die Regeln
> werden also komplett übergangen) und der Grund wäre, das
> bridge-firewalling nicht funktionieren würde.
Vermutlich hast Du da ein Verstaendnisproblem. Mit iptables kannst Du nicht
so einfach auf einer Bridging Firewall filtern. Iptables versteht zwar
--physdev fuer eine Bridging Firewall (s. iptables manpage), aber trotzdem
sollte man daran denken, dass IP auf einem anderen OSI-Layer ist und die
Bridge auf dem Layer darunter. S.a.
http://de.wikipedia.org/wiki/OSI-Layer#Die_7_Ebenen
Fuer das eigentliche Filtern auf einer Bridge dient eigentlich ebtables:
Description: Ethernet bridge frame table administration
Ebtables is used to set up, maintain, and inspect the tables of
Ethernet frame rules in the Linux kernel. It is analogous to iptables,
but operates at the MAC layer rather than the IP layer.
> Auf einer Debian Seite
> [http://www.debian.org/doc/manuals/securing-debian-howto/ap-bridge-fw.de.html]
> bin ich dann auf folgende Lösung gestoßen:
> >[...]
> >Passen Sie auf, dass Sie dieses hier deaktiviert haben, wenn Sie
> >Firewall-Regeln anwenden wollen. Anderenfalls wird iptables nicht
> >funktioniert.
> Aber ich kann kein make menuconfig oder xconfig aufrufen!!! In beiden
> Fällen bekomme ich die Fehlermeldung
> make: *** Keine Regel, um >>menuconfig/xconfig<< zu erstellen. Schluss.
> kann mir einer sagen was ich falsch mache, oder muss ich noch etwas
> zusätzlich installieren damit es geht?
Ohje... naja, gut, jeder hat mal angefangen... ;)
Aaaalso: nur weil *irgendwas* *irgendwo* im Netz steht, muss es noch nicht
richtig sein.
In diesem Fall heisst das: Da du offensichtlich noch relativ neu "dabei"
bist, halte ich die Einrichtung einer Bridging Firewall nicht unbedingt fuer
die cleverste Aktion, aber letztendlich muss nicht ich das verantworten. ;)
Aber es heisst auch, dass du dir keinen eigenen Kernel kompilieren musst,
weil der Debian Standard-Kernel eigentlich schon alles fertig mitbringt.
Nur: *richtig* benutzen und konfigurieren muss man es schon selber dann
noch. Dabei sind obskure HowTos aus dem Netz nicht unbedingt zielfuehrend,
wenn man absolut keine Ahnung hat. Zumindest sollte man soviel von der
Materie verstehen, dass man beurteilen kann, was man nun aus dem HowTo
verwenden und was man ueberspringen kann.
Deshalb der gut gemeinte Rat, sich entsprechend im Netz z.B. auf den
Projektseiten zu informieren, (netfilter, iptables, ebtables). Auch
Wikipedia liefert viel Wissenswertes zu den grundlegenden Begriffen.
:-)
--
Ciao... // Fon: 0381-2744150
Ingo \X/ http://blog.windfluechter.net
gpg pubkey: http://www.juergensmann.de/ij_public_key.asc
Reply to: