WCM Forum - Firewall für Dummys= für Excalibur

WCM Forum (http://www.wcm.at/forum/index.php)

- Linux, UNIX, Open Source (http://www.wcm.at/forum/forumdisplay.php?f=13)

- - Firewall für Dummys= für Excalibur (http://www.wcm.at/forum/showthread.php?t=55708)

@_m3: Auszug aus deinem Link:
4. Schnelle Uebersetzung vom 2.0er und 2.2er Kernel
Sorry an alle von Euch, die noch immer geschockt sind vom Uebergang von 2.0 (ipfwadm) auf 2.2 (ipchains). Es gibt gute und schlechte Neuigkeiten.

Zuerst einmal kannst Du ipfwadm und ipchains wie gewohnt weiterbenutzen. Um das zu tun, musst Du das 'ipchains.o' oder 'ipfwadm.o' Kernelmodul aus der letzten netfilter-Distribution laden (insmod). Diese beiden schliessen sich gegenseitig aus (Du bist gewarnt) und sollten nicht mit anderen netfilter-Modulen kombiniert werden.

Sobald eins dieser Module installiert ist, kannst Du ipchains und ipfwadm wie gewohnt benutzen, mit den folgenden Unterschieden:

Das Masquerading Timeout mit ipchains -M -S, oder mit ipfwadm -M -S, zu setzen,

usw., das passt irgendwie nicht! Der andere Link, ein paar Seiten weiter:

Wenn Du NAT auf einer Verbindung machst, muessen alle Pakete in beide Richtungen (in und aus dem Netzwerk) durch den NAT-Rechner, sonst wird es nicht zuverlaessig funktionieren. Im Besonderen heisst das, dass der connection tracking Code Fragmente wieder zusammensetzt, was bedeutet, dass Deine Verbindung nicht nur unzuverlaessig sein wird, sondern koennten Pakete sogar ueberhaupt nicht durchkommen, da Fragmente zurueckgehalten werden.
Soll keiner sagen, das ich mir die Links nicht anschau.
mfg Excalibur

Ich weiss ja nicht, was Du gelesen hast, aber
http://netfilter.samba.org/documenta...O-4.html#ss4.1 (warten, biss die Seite fertig geladen ist):

Zitat:

4.1 Ich will nur Masquerading! Hilfe!

Das ist das, was die meisten Leute wollen. Wenn Du durch eine PPP-Verbindung eine dynamische IP-Adresse hast (wenn Du das nicht weisst, dann hast Du eine), moechtest Du Deinem Rechner einfach sagen, dass alle Pakete, die aus Deinem internen Netzwerk kommen, so aussehen sollen, als ob sie von dem Rechner mit der PPP-Verbindung kommen wuerden.

# Das NAT-Modul laden (dies zieht all die andern mit).
modprobe iptable_nat

# In der NAT-Tabelle (-t nat) eine Regel fuer alle an ppp0 (-o ppp0)
# ausgehenden Pakete hinter dem Routing (POSTROUTING), die maskiert
# werden sollen, anhaengen (-A).
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

# IP-Forwarding aktivieren
echo 1 > /proc/sys/net/ipv4/ip_forward

Beachte, dass Du hier keine Pakete filterst: hierzu lese das Packet- Filtering-HOWTO: Kombinieren von NAT und Paketfiltern.

http://netfilter.samba.org/documenta...g-HOWTO-5.html

Zitat:

5. Rustys wirklich schnelle Anleitung zum Paketfiltern

Die meisten Leute haben nur eine einfach PPP-Verbindung zum Internet und wollen nicht, dass irgendjemand in ihr Netzwerk oder in die Firewall kommen kann: (Anm.d.Uebersetzerin: Die Rauten am Zeilen- anfang muessen fuer Copy and Paste entfernt werden)

## Verbindungsaufspuerende Module einfuegen (Wenn nicht schon im Kernel).
# insmod ip_conntrack
# insmod ip_conntrack_ftp

## Kette erstellen, die neue Verbindung blockt, es sei denn, sie kommen
## von innen
# iptables -N block
# iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
# iptables -A block -m state --state NEW -i ! ppp0 -j ACCEPT
# iptables -A block -j DROP

## Von INPUT und FORWARD Ketten zu dieser Kette springen
# iptables -A INPUT -j block
# iptables -A FORWARD -j block