Re: Aufsetzen einer überbrückenden Firewall
Hallo Harald,
Erstmal danke für die ausgiebige Antwort.
Betreibe ein Debian 2.6.18-6-k7.
Ich habe ein weiteres System in einer VMWare laufen und möchte nun eine
Bridge Firewall zwischen der eth0 und der vmnet1 Schnittstelle mit
IPTables und Snort_inline betreiben.
Was steckt denn hinter vmnet1? Falls du VMware mit Bridged
Networking auf eth0 konfiguriert hast, funktionieren die Paketfilter-
Mechanismen von Linux nicht. VMware benutzt seinen eigenen Bridging-
Code, der von Linux Bridging unabhängig ist.
vmnet1 ist auf "Host-only" konfiguriert, die von dir beschriebende
Problematik hab ich so auch in einigen Anleitungen gefunden (und auch
verstanden). Die Sache mit der IP-Adresse ist mir dann mit der Zeit auch
aufgefallen, aber jetzt hab ich wenigstens auch dafür eine Erklärung. Danke.
Die Bridge wird durch das Script erstellt indem auch die IPTables
einträge sind (Die ich ja wohl anscheind so doch nicht nutzen kann,
obwohl ich das noch nicht so ganz glaube, oder ich hab mein vorhaben nur
falsch beschrieben)
Wenn vmnet1 ein Host Internal Network ist, dann kannst du eine
Linux Bridge aufbauen. Das muss nach dem Start von VMware geschehen,
da VMware dem Interface immer eine eigene IP-Adresse gibt, die
du explizit löschen musst.
Ein Kernelpatch oder spezielle Parameter sind dazu nicht mehr
nötig. Einfach mit brctl die Bridge und mit ebtables die Regeln
setzen, die benötigten Module werden automatisch geladen.
Ich würde allerdings dringend empfehlen, nur auf solchen Systemen
mit Honeypots zu experimentieren, die keine Daten enthalten, die dir
in irgend einer Form wichtig sind!
Was das System angeht das den Honeypot darstellt, so kann ich dich
beruhigen. Auf dem System ist gar nichts drauf. Ich habe mir ein system
aus Einzelteilen zusammen gebastelt die ich hier noch rumliegen hatte.
Eine alte 30 GB Platte die ich mit 3 verschiedenen Methoden nacheinander
gelöscht bzw formatiert habe sollte reichen. (Active Killdisk, dd Befehl
unter Linux und bei der Installation nochmal formatieren.
Als System für die Honeywall dient das zuvor erwähnte Debian und als
Opfer ist ein blankes XP Prof SP3 installiert, Xampp um mir einen
FTP-Server in 2 Minuten zu liefern und dann noch ein paar Dummy-Dateien
die ich mit einem Dos Befehl erstellt habe als Köder
fsutil file createnew Die_Aerzte_Jazz_Ist_Anders.rar 64833952
erstellt ne Datei die eben die angegebene Größe in Bytes hat.
Aber ich kann kein make menuconfig oder xconfig aufrufen!!! In beiden
Fällen bekomme ich die Fehlermeldung
make: *** Keine Regel, um >>menuconfig/xconfig<< zu erstellen. Schluss.
Das betreffende Makefile ist Bestandteil des Kernel Source Paketes,
d.h. du müsstest dafür die Kernelsourcen installieren und dich im
richtigen Verzeichnis befinden. Aber wie gesagt, das ist für Bridging
nicht mehr nötig.
Bzgl des "make menuconfig" Befehls, auf den Trichter bin ich gekommen
weil ich unter anderem auf der Seite des Linux-Magazins auf einen
älteren Artikel gestoßen bin der ebenfalls dieses Thema beschreibt und
anhand dieses Befehls sollte man in eine Art Konfigurationsmenu gelangen
wo man dann unter "Network Support" einstellen kann das
"IPTables"!!!!!!! im Bridge Modus verwendet werden kann.
Gruß Andreas
Reply to: