Firewall Workshop Teil3: Ohne feste IP?

Post Reply
Message
Author
Carsten

Firewall Workshop Teil3: Ohne feste IP?

#1 Post by Carsten »

Hallo,
genügt es für die konkreten Bsp. im Firewall Workshop 3, wenn man eine Wählverbindung
ohne feste IP benutzt (TO), folgendes zu ersetzten/editeren?

>ip_adr="195.20.195.212"
>Die vom Provider vergebene statische IP-Adresse der Internetverbindung
Hier dann die IP aus dem ppp-up Skript einsetzen, oder? (local IP ?)

Man kann doch auch eine Datei mit den Ip-Chains Regeln erstellen, und dieses
dann im ppp-up skript mit dem entsprechenden Argument aufrufen, oder nicht?
Bsp: ppp-up: /etc/firewall $Local_IP
und dann im firwall skript: ip_adr=$1
Oder liege ich da völlig falsch?
ciao,
carsten

User avatar
hjb
Pro-Linux
Posts: 3264
Joined: 15. Aug 1999 16:59
Location: Bruchsal
Contact:

Re: Firewall Workshop Teil3: Ohne feste IP?

#2 Post by hjb »

Hi,

statt der IP-Adresse kann man auch das Interface angeben, das ändert sich nicht. Ich würde gern mal eine entsprechende Anleitung schreiben, aber die Zeit...

Gruß,
hjb
Pro-Linux - warum durch Fenster steigen, wenn es eine Tür gibt?

Thomas

Re: Firewall Workshop Teil3: Ohne feste IP?

#3 Post by Thomas »

Hier wird die dynamische IP festgestellt:

=========================schnipp

IPADDR=$(/sbin/ifconfig | /bin/grep P-t-P | /usr/bin/cut -c 21-35 | /usr/bin/cut -f1 -d" ")

=========================schnapp
und das ganze ins Script einbauen

Gruß Thomas

cerberusger
Posts: 348
Joined: 28. Dec 2000 13:30
Location: Muenchen

Re: Firewall Workshop Teil3: Ohne feste IP?

#4 Post by cerberusger »

gut aufgepasst, thomas :)

das ganze ist in meiner antwort im 'routing'-posting incl. einem detaillierten fw-script nachzulesen
Linux is a wigwam - no windows, no gates, apache inside <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">

Thomas

Re: Firewall Workshop Teil3: Ohne feste IP?

#5 Post by Thomas »

<img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle"> Ganz stolz aus der Wäsche gucke...

@Gerhard Feiner:
In Deinem Script beziehst Du 2x Daten von Cut, jedoch einmal ohne Pfadangabe - ist sicherlich nur eine Kleinigkeit.

Gruß Thomas

Carsten

Re: Firewall Workshop Teil3: Ohne feste IP?

#6 Post by Carsten »

Vielen Dank für die Antworten (auch wenn die letzte wohl OT war ;)

>hjb: statt der IP-Adresse kann man auch das Interface angeben, das ändert sich nicht

Kann ich damit dann auch Regeln wie in "Firewall unter Linux (Anleitung Nr.2)"
http://www.pro-linux.de/work/server/and ... ewall.html
für z.B. aktives FTP erstellen?

>Thomas: Hier wird die dynamische IP festgestellt:
Das Skript muß ich aber trotzdem noch im ppp-up skript aufrufen oder?
zu 99% ja, ich frage nur weil mein Server nicht gerade der schnellste ist,
und es zu einer kurzen Verögerung bei größern Skripten kommt.


ciao,
Carsten



>Ich würde gern mal eine entsprechende Anleitung schreiben, aber die Zeit...
Ja, ja mußt ihr denn wirklich schlafen? könnt ihr nicht in der Nacht noch mehr
von eurer/deiner Freizeit opfern ;))))

User avatar
hjb
Pro-Linux
Posts: 3264
Joined: 15. Aug 1999 16:59
Location: Bruchsal
Contact:

Re: Firewall Workshop Teil3: Ohne feste IP?

#7 Post by hjb »

Hi,

> Kann ich damit dann auch Regeln wie
> in Firewall unter Linux (Anleitung Nr.2)"
> http://www.pro-linux.de/work/server/and ... ewall.html
> für z.B. aktives FTP erstellen?

ich sehe nichts, was dagegen spricht.

Gruß,
hjb
Pro-Linux - warum durch Fenster steigen, wenn es eine Tür gibt?

Carsten

Re: Firewall Workshop Teil3: Ohne feste IP?

#8 Post by Carsten »

>statt der IP-Adresse kann man auch das Interface angeben,
>das ändert sich nicht
Ich hoffe ich nerve nicht, aber weshalb ich u.a. gefragt hatte,
war das man bei bestimmten Regeln die IP Adresse + port angegeben sind.
Stimmt die folgende Änderung z.B. bei den aktiven FTP Regeln aus "Firewall unter Linux (Anleitung Nr.2)":
Orginal: (IP_NET=Eigene Internet IP)
ipchains -A output -s $IP_INET 1024: --destination-port 21 -p tcp -i $DEV_INET -j ACCEPT
Ohne IP Adresse nur mit dem Interface: (--source-port statt -s $IP_NET)
ipchains -A output --source-port 1024: --destination-port 21 -p tcp -i $DEV_INET -j ACCEPT

Nochmals Vielen Dank,
Carsten

PS: Kann es sein das eine der Regeln aus "Firewall unter Linux (Anleitung Nr.2)"
"4.8 Aktives FTP und Masquerading" eine Regel mit einer flaschen Variblen enthält:

# dann lässt man die Antwortpakete durch, die nicht zum Verbindungsaufbau dienen dürfen
(...)
ipchains -A output --source-port 21 -d $LAN 1024: -p tcp -i $DEV_LNET -j ACCEPT ! -y

Die Varible $DEV_LNET ist nicht in der Anleitung vorhanden, stattdessen wird für das LAN
Device $DEV_LAN verwendent.
Kurz: Müsste hier also $DEV_LAN statt $DEV_LNET stehen?

cerberusger
Posts: 348
Joined: 28. Dec 2000 13:30
Location: Muenchen

Re: Firewall Workshop Teil3: Ohne feste IP?

#9 Post by cerberusger »

@thomas: hehe, hast mich erwischt ;) *kopfschuettel* wie konnte mir das nur passieren ? *gg*

@carsten: das script (ueber das thomas und ich gesprochen haben) laeuft bei mir auf einem p120, 40mb ram mit ner 4gig-platte (die eigentlich nix zur sache tut. drin ist nix ausser einer isdn-karte (avm fritz! pci) und ner netzwerkkarte (ganz normale ne2k-pci, 10mbit reichne ja auch dicke fuer die 64k-isdn-daten *gg*). ja, netmal ne graka hat der, auch keine tastatur. er ist nur per telnet (klaro nur aus dem lan) erreichbar.

ich weiss ja net, was du fuer einen rechner hast, aber ich denke, der macht des auch, wenn's net grad n alter 386er is ;)
Linux is a wigwam - no windows, no gates, apache inside <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">

Post Reply