hallo ihr helfer,
folgende sitution: rechner a firewall (suse linux)
rechner b workstation (suse linux)
rechner a nic1 -------> (per crossover) rechner b nic1
rechner a nic2 -------> adsl-router
nun meine frage...ich wuerde gern die firewall mittels fwbuilder konfigurieren...theorie sitzt, praxis laeuft schief...
wieviel nic?s bekommen nun als standardgateway die router-ip zugeteilt?
welche kann ich getrost per dhcp (auch vom router) konfigurieren lassen?
selbst wenn ich die firewall deaktiviere, kann ich nicht nach draussen pingen, geschweige denn traceroute ausfuehren. ihr merkt, mein problem betrifft (noch) nicht fwbuilder, geschweige denn iptables, sondern schlicht und einfach die grundinstallation.
achso - wenn mir jemand noch sagen kann, wie ich die nic "von hand" konfigurieren kann (wie gesagt suse) ohne dabei yast zu nutzen (jawohl ich hab bis jetzt yast benutzt) - ich denke da so an einen eintrag in einer nic-config, die ich wie ein wahnsinniger gesucht habe, aber das gehoert nicht hier her - waere das jedenfalls auch noch eine medaille wert.
firewallgrundlagenproblem
-
- Posts: 3
- Joined: 23. Sep 2003 9:50
- Location: Leipzig
firewallgrundlagenproblem
Wer fragt gewinnt! fragenminimierung durch kommunikation
-
- Posts: 101
- Joined: 07. May 2002 17:23
- Location: Lampertheim
Re: firewallgrundlagenproblem
#!/bin/sh
/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_conntrack_irc
/sbin/modprobe iptable_nat
/sbin/modprobe ip_nat_ftp
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/ip_dynaddr
# abgehende Pakete FORWARDING - ( Routing ) Paketweiterleitung
iptables -A FORWARD -o ppp0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#
# ankommende Pakete FORWARDING - ( Routing )
iptables -A FORWARD -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
#
# NAT ( Network Address Translation ) - Maquerading
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
Das obige sollte Routing/Masquerading aktivieren, sollte als Grundlage reichen, für die FW-Regeln benutze bitte ein Suchmedium Deiner Wahl.
> Wer fragt gewinnt! fragenminimierung durch kommunikation
Wer googelt, gewinnt schneller!
/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_conntrack_irc
/sbin/modprobe iptable_nat
/sbin/modprobe ip_nat_ftp
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/ip_dynaddr
# abgehende Pakete FORWARDING - ( Routing ) Paketweiterleitung
iptables -A FORWARD -o ppp0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#
# ankommende Pakete FORWARDING - ( Routing )
iptables -A FORWARD -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
#
# NAT ( Network Address Translation ) - Maquerading
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
Das obige sollte Routing/Masquerading aktivieren, sollte als Grundlage reichen, für die FW-Regeln benutze bitte ein Suchmedium Deiner Wahl.
> Wer fragt gewinnt! fragenminimierung durch kommunikation
Wer googelt, gewinnt schneller!
Last edited by firebuster on 24. Sep 2003 8:00, edited 1 time in total.
-
- Posts: 3
- Joined: 23. Sep 2003 9:50
- Location: Leipzig
Re: firewallgrundlagenproblem
vielen dank erst mal fuer das skript. nun ist es aber so, dass ich es noch gar nicht anwenden kann, da ich wie gesagt noch ueber die konfiguration der einzelnen nics nachdenken muesste. muss ueberhaupt ausser bei der externen schnittstelle noch ein gateway angegeben werden? kann ich sie per dhcp konfigurieren usw.?
-
- Posts: 101
- Joined: 07. May 2002 17:23
- Location: Lampertheim
Re: firewallgrundlagenproblem
> muss ueberhaupt ausser bei der externen schnittstelle noch ein gateway angegeben werden?
Du vergibst in Rechner a jeder NIC eine IP, z. B. 192.168.0.1-2
Die, die mit dem Router verbunden ist, bekommt als Gateway die IP vom Router.
Die IP von Rechner b sei 192.168.0.3, als Gateway die IP der NIC von Rechner a, der mit Rechner b verbunden ist.
> kann ich sie per dhcp konfigurieren usw.?
Kann man, macht aber bei 3 zu verwaltenden IPs wenig Sinn, sind statisch schneller eingerichtet.
Du vergibst in Rechner a jeder NIC eine IP, z. B. 192.168.0.1-2
Die, die mit dem Router verbunden ist, bekommt als Gateway die IP vom Router.
Die IP von Rechner b sei 192.168.0.3, als Gateway die IP der NIC von Rechner a, der mit Rechner b verbunden ist.
> kann ich sie per dhcp konfigurieren usw.?
Kann man, macht aber bei 3 zu verwaltenden IPs wenig Sinn, sind statisch schneller eingerichtet.
Re: firewallgrundlagenproblem
oh vielen dank, hatte die hoffnung schon aufgegeben - laeuft naemlich auch noch in einem anderen forum, keine chance. nun ist noch ein problem (zumindest vorerst): wie kann ich (ohne yast) die konfiguration manuell vornehmen - yast pfuscht naemlich immer wieder rein - habs mir naemlich schon vorher fast gedacht (mit den gateways), aber yast uebertraegt die gatewayeinstellung der einen nic immer wieder auf die andere, kann somit keine angepasste einstellung vornehmen. und, da wir gerade dabei sind: welche dienste kann ich den auf der firewall abschalten, um eine dedizierte ins leben zu rufen? also, besten dank schon mal!
-
- Posts: 3
- Joined: 23. Sep 2003 9:50
- Location: Leipzig
Re: firewallgrundlagenproblem
achso, wenn ich nicht per dhcp konfiguriere, muss ich dann bei jeder nic auch den dns-server angeben? tja, tut mir leid, aber ich fuchs mich echt gerade in das thema. aber ich hoffe auf geduldige profis.
Wer fragt gewinnt! fragenminimierung durch kommunikation
-
- Posts: 101
- Joined: 07. May 2002 17:23
- Location: Lampertheim
Re: firewallgrundlagenproblem
> Probleme mit Yast
man ifconfig
> Probleme mit Firewall
man init
Da gibbet bei SuSE AFAIK einen Runleveleditor, such die FW und deaktiviere sie
> DNS-Problem
Google mal nach der /etc/resolv.conf
Sorry für die knappen Antworten, aber bei Deiner Distri war ein Stück toter Baum dabei, das helfen kann, ausserdem existiert Google und groups.google.com <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">
man ifconfig
> Probleme mit Firewall
man init
Da gibbet bei SuSE AFAIK einen Runleveleditor, such die FW und deaktiviere sie
> DNS-Problem
Google mal nach der /etc/resolv.conf
Sorry für die knappen Antworten, aber bei Deiner Distri war ein Stück toter Baum dabei, das helfen kann, ausserdem existiert Google und groups.google.com <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">