Hallo,
genügt es für die konkreten Bsp. im Firewall Workshop 3, wenn man eine Wählverbindung
ohne feste IP benutzt (TO), folgendes zu ersetzten/editeren?
>ip_adr="195.20.195.212"
>Die vom Provider vergebene statische IP-Adresse der Internetverbindung
Hier dann die IP aus dem ppp-up Skript einsetzen, oder? (local IP ?)
Man kann doch auch eine Datei mit den Ip-Chains Regeln erstellen, und dieses
dann im ppp-up skript mit dem entsprechenden Argument aufrufen, oder nicht?
Bsp: ppp-up: /etc/firewall $Local_IP
und dann im firwall skript: ip_adr=$1
Oder liege ich da völlig falsch?
ciao,
carsten
Firewall Workshop Teil3: Ohne feste IP?
Re: Firewall Workshop Teil3: Ohne feste IP?
Hi,
statt der IP-Adresse kann man auch das Interface angeben, das ändert sich nicht. Ich würde gern mal eine entsprechende Anleitung schreiben, aber die Zeit...
Gruß,
hjb
statt der IP-Adresse kann man auch das Interface angeben, das ändert sich nicht. Ich würde gern mal eine entsprechende Anleitung schreiben, aber die Zeit...
Gruß,
hjb
Pro-Linux - warum durch Fenster steigen, wenn es eine Tür gibt?
Re: Firewall Workshop Teil3: Ohne feste IP?
Hier wird die dynamische IP festgestellt:
=========================schnipp
IPADDR=$(/sbin/ifconfig | /bin/grep P-t-P | /usr/bin/cut -c 21-35 | /usr/bin/cut -f1 -d" ")
=========================schnapp
und das ganze ins Script einbauen
Gruß Thomas
=========================schnipp
IPADDR=$(/sbin/ifconfig | /bin/grep P-t-P | /usr/bin/cut -c 21-35 | /usr/bin/cut -f1 -d" ")
=========================schnapp
und das ganze ins Script einbauen
Gruß Thomas
-
- Posts: 348
- Joined: 28. Dec 2000 13:30
- Location: Muenchen
Re: Firewall Workshop Teil3: Ohne feste IP?
gut aufgepasst, thomas
das ganze ist in meiner antwort im 'routing'-posting incl. einem detaillierten fw-script nachzulesen
das ganze ist in meiner antwort im 'routing'-posting incl. einem detaillierten fw-script nachzulesen
Linux is a wigwam - no windows, no gates, apache inside <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">
Re: Firewall Workshop Teil3: Ohne feste IP?
<img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle"> Ganz stolz aus der Wäsche gucke...
@Gerhard Feiner:
In Deinem Script beziehst Du 2x Daten von Cut, jedoch einmal ohne Pfadangabe - ist sicherlich nur eine Kleinigkeit.
Gruß Thomas
@Gerhard Feiner:
In Deinem Script beziehst Du 2x Daten von Cut, jedoch einmal ohne Pfadangabe - ist sicherlich nur eine Kleinigkeit.
Gruß Thomas
Re: Firewall Workshop Teil3: Ohne feste IP?
Vielen Dank für die Antworten (auch wenn die letzte wohl OT war
>hjb: statt der IP-Adresse kann man auch das Interface angeben, das ändert sich nicht
Kann ich damit dann auch Regeln wie in "Firewall unter Linux (Anleitung Nr.2)"
http://www.pro-linux.de/work/server/and ... ewall.html
für z.B. aktives FTP erstellen?
>Thomas: Hier wird die dynamische IP festgestellt:
Das Skript muß ich aber trotzdem noch im ppp-up skript aufrufen oder?
zu 99% ja, ich frage nur weil mein Server nicht gerade der schnellste ist,
und es zu einer kurzen Verögerung bei größern Skripten kommt.
ciao,
Carsten
>Ich würde gern mal eine entsprechende Anleitung schreiben, aber die Zeit...
Ja, ja mußt ihr denn wirklich schlafen? könnt ihr nicht in der Nacht noch mehr
von eurer/deiner Freizeit opfern )))
>hjb: statt der IP-Adresse kann man auch das Interface angeben, das ändert sich nicht
Kann ich damit dann auch Regeln wie in "Firewall unter Linux (Anleitung Nr.2)"
http://www.pro-linux.de/work/server/and ... ewall.html
für z.B. aktives FTP erstellen?
>Thomas: Hier wird die dynamische IP festgestellt:
Das Skript muß ich aber trotzdem noch im ppp-up skript aufrufen oder?
zu 99% ja, ich frage nur weil mein Server nicht gerade der schnellste ist,
und es zu einer kurzen Verögerung bei größern Skripten kommt.
ciao,
Carsten
>Ich würde gern mal eine entsprechende Anleitung schreiben, aber die Zeit...
Ja, ja mußt ihr denn wirklich schlafen? könnt ihr nicht in der Nacht noch mehr
von eurer/deiner Freizeit opfern )))
Re: Firewall Workshop Teil3: Ohne feste IP?
Hi,
> Kann ich damit dann auch Regeln wie
> in Firewall unter Linux (Anleitung Nr.2)"
> http://www.pro-linux.de/work/server/and ... ewall.html
> für z.B. aktives FTP erstellen?
ich sehe nichts, was dagegen spricht.
Gruß,
hjb
> Kann ich damit dann auch Regeln wie
> in Firewall unter Linux (Anleitung Nr.2)"
> http://www.pro-linux.de/work/server/and ... ewall.html
> für z.B. aktives FTP erstellen?
ich sehe nichts, was dagegen spricht.
Gruß,
hjb
Pro-Linux - warum durch Fenster steigen, wenn es eine Tür gibt?
Re: Firewall Workshop Teil3: Ohne feste IP?
>statt der IP-Adresse kann man auch das Interface angeben,
>das ändert sich nicht
Ich hoffe ich nerve nicht, aber weshalb ich u.a. gefragt hatte,
war das man bei bestimmten Regeln die IP Adresse + port angegeben sind.
Stimmt die folgende Änderung z.B. bei den aktiven FTP Regeln aus "Firewall unter Linux (Anleitung Nr.2)":
Orginal: (IP_NET=Eigene Internet IP)
ipchains -A output -s $IP_INET 1024: --destination-port 21 -p tcp -i $DEV_INET -j ACCEPT
Ohne IP Adresse nur mit dem Interface: (--source-port statt -s $IP_NET)
ipchains -A output --source-port 1024: --destination-port 21 -p tcp -i $DEV_INET -j ACCEPT
Nochmals Vielen Dank,
Carsten
PS: Kann es sein das eine der Regeln aus "Firewall unter Linux (Anleitung Nr.2)"
"4.8 Aktives FTP und Masquerading" eine Regel mit einer flaschen Variblen enthält:
# dann lässt man die Antwortpakete durch, die nicht zum Verbindungsaufbau dienen dürfen
(...)
ipchains -A output --source-port 21 -d $LAN 1024: -p tcp -i $DEV_LNET -j ACCEPT ! -y
Die Varible $DEV_LNET ist nicht in der Anleitung vorhanden, stattdessen wird für das LAN
Device $DEV_LAN verwendent.
Kurz: Müsste hier also $DEV_LAN statt $DEV_LNET stehen?
>das ändert sich nicht
Ich hoffe ich nerve nicht, aber weshalb ich u.a. gefragt hatte,
war das man bei bestimmten Regeln die IP Adresse + port angegeben sind.
Stimmt die folgende Änderung z.B. bei den aktiven FTP Regeln aus "Firewall unter Linux (Anleitung Nr.2)":
Orginal: (IP_NET=Eigene Internet IP)
ipchains -A output -s $IP_INET 1024: --destination-port 21 -p tcp -i $DEV_INET -j ACCEPT
Ohne IP Adresse nur mit dem Interface: (--source-port statt -s $IP_NET)
ipchains -A output --source-port 1024: --destination-port 21 -p tcp -i $DEV_INET -j ACCEPT
Nochmals Vielen Dank,
Carsten
PS: Kann es sein das eine der Regeln aus "Firewall unter Linux (Anleitung Nr.2)"
"4.8 Aktives FTP und Masquerading" eine Regel mit einer flaschen Variblen enthält:
# dann lässt man die Antwortpakete durch, die nicht zum Verbindungsaufbau dienen dürfen
(...)
ipchains -A output --source-port 21 -d $LAN 1024: -p tcp -i $DEV_LNET -j ACCEPT ! -y
Die Varible $DEV_LNET ist nicht in der Anleitung vorhanden, stattdessen wird für das LAN
Device $DEV_LAN verwendent.
Kurz: Müsste hier also $DEV_LAN statt $DEV_LNET stehen?
-
- Posts: 348
- Joined: 28. Dec 2000 13:30
- Location: Muenchen
Re: Firewall Workshop Teil3: Ohne feste IP?
@thomas: hehe, hast mich erwischt *kopfschuettel* wie konnte mir das nur passieren ? *gg*
@carsten: das script (ueber das thomas und ich gesprochen haben) laeuft bei mir auf einem p120, 40mb ram mit ner 4gig-platte (die eigentlich nix zur sache tut. drin ist nix ausser einer isdn-karte (avm fritz! pci) und ner netzwerkkarte (ganz normale ne2k-pci, 10mbit reichne ja auch dicke fuer die 64k-isdn-daten *gg*). ja, netmal ne graka hat der, auch keine tastatur. er ist nur per telnet (klaro nur aus dem lan) erreichbar.
ich weiss ja net, was du fuer einen rechner hast, aber ich denke, der macht des auch, wenn's net grad n alter 386er is
@carsten: das script (ueber das thomas und ich gesprochen haben) laeuft bei mir auf einem p120, 40mb ram mit ner 4gig-platte (die eigentlich nix zur sache tut. drin ist nix ausser einer isdn-karte (avm fritz! pci) und ner netzwerkkarte (ganz normale ne2k-pci, 10mbit reichne ja auch dicke fuer die 64k-isdn-daten *gg*). ja, netmal ne graka hat der, auch keine tastatur. er ist nur per telnet (klaro nur aus dem lan) erreichbar.
ich weiss ja net, was du fuer einen rechner hast, aber ich denke, der macht des auch, wenn's net grad n alter 386er is
Linux is a wigwam - no windows, no gates, apache inside <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">