Re: Aufsetzen einer überbrückenden Firewall

[Andreas Carduck <andreas.carduck@gmx.de>]

Hallo Harald,

Erstmal danke für die ausgiebige Antwort.

> > Betreibe ein Debian 2.6.18-6-k7.
> > Ich habe ein weiteres System in einer VMWare laufen und möchte nun eine 
> > Bridge Firewall zwischen der eth0 und der vmnet1 Schnittstelle mit 
> > IPTables und Snort_inline betreiben.
>
> Was steckt denn hinter vmnet1? Falls du VMware mit Bridged
> Networking auf eth0 konfiguriert hast, funktionieren die Paketfilter-
> Mechanismen von Linux nicht. VMware benutzt seinen eigenen Bridging-
> Code, der von Linux Bridging unabhängig ist.

vmnet1 ist auf "Host-only" konfiguriert, die von dir beschriebende 
Problematik hab ich so auch in einigen Anleitungen gefunden (und auch 
verstanden). Die Sache mit der IP-Adresse ist mir dann mit der Zeit auch 
aufgefallen, aber jetzt hab ich wenigstens auch dafür eine Erklärung. Danke.
Die Bridge wird durch das Script erstellt indem auch die IPTables 
einträge sind (Die ich ja wohl anscheind so doch nicht nutzen kann, 
obwohl ich das noch nicht so ganz glaube, oder ich hab mein vorhaben nur 
falsch beschrieben)


> Wenn vmnet1 ein Host Internal Network ist, dann kannst du eine
> Linux Bridge aufbauen. Das muss nach dem Start von VMware geschehen,
> da VMware dem Interface immer eine eigene IP-Adresse gibt, die
> du explizit löschen musst.
>
> Ein Kernelpatch oder spezielle Parameter sind dazu nicht mehr
> nötig. Einfach mit brctl die Bridge und mit ebtables die Regeln
> setzen, die benötigten Module werden automatisch geladen.
>
> Ich würde allerdings dringend empfehlen, nur auf solchen Systemen
> mit Honeypots zu experimentieren, die keine Daten enthalten, die dir
> in irgend einer Form wichtig sind!

Was das System angeht das den Honeypot darstellt, so kann ich dich 
beruhigen. Auf dem System ist gar nichts drauf. Ich habe mir ein system 
aus Einzelteilen zusammen gebastelt die ich hier noch rumliegen hatte. 
Eine alte 30 GB Platte die ich mit 3 verschiedenen Methoden nacheinander 
gelöscht bzw formatiert habe sollte reichen. (Active Killdisk, dd Befehl 
unter Linux und bei der Installation nochmal formatieren.
Als System für die Honeywall dient das zuvor erwähnte Debian und als 
Opfer ist ein blankes XP Prof SP3 installiert, Xampp um mir einen 
FTP-Server in 2 Minuten zu liefern und dann noch ein paar Dummy-Dateien 
die ich mit einem Dos Befehl erstellt habe als Köder

fsutil file createnew Die_Aerzte_Jazz_Ist_Anders.rar 64833952

erstellt ne Datei die eben die angegebene Größe in Bytes hat.

> > Aber ich kann kein make menuconfig oder xconfig aufrufen!!! In beiden 
> > Fällen bekomme ich die Fehlermeldung
> >
> > make: *** Keine Regel, um >>menuconfig/xconfig<< zu erstellen. Schluss.
>
> Das betreffende Makefile ist Bestandteil des Kernel Source Paketes,
> d.h. du müsstest dafür die Kernelsourcen installieren und dich im
> richtigen Verzeichnis befinden. Aber wie gesagt, das ist für Bridging
> nicht mehr nötig.

Bzgl des "make menuconfig" Befehls, auf den Trichter bin ich gekommen 
weil ich unter anderem auf der Seite des Linux-Magazins auf einen 
älteren Artikel gestoßen bin der ebenfalls dieses Thema beschreibt und 
anhand dieses Befehls sollte man in eine Art Konfigurationsmenu gelangen 
wo man dann unter "Network Support" einstellen kann das 
"IPTables"!!!!!!!  im Bridge Modus verwendet werden kann.

Gruß Andreas