Hallo!


Ich würde gerne ein LAN via IP-Masquerading bzw NAT (was ist bitte der genaue Unterschied zwischen NAP und MASQUERADING) an das Internet anbinden - dazu möchte ich via IP-TABLES eine Firewall aufstellen und ev. gleich noch einen eigenen Linux für's Protokollieren aufstellen.


Meine Fragen: 1. Wie kann man erreichen dass der Linux der das Masqu macht nicht lokal loggt, sondern auf einem anderen.

2. Gibt es irgendwelche empfehlenswerte Firewallscripts - ich möchte eigentlich nur das LiveUpdate, HTTP erlauben - weiters soll der linux die eMails per pop abholen - sonst muss nichts erlaubt sein.


Wie sind die Risiken - wie leicht ist so ein System von außen angreifbar?


Tnx

Huhu anybody!

Für deine Anforderungen wird wohl IP-Masquerading das richtige sein, ich vermute, dass du nur deinen eigenen Rechner / dein eigenes kleines Netz ins Internet bringen willst.

Der Unterschied zwischen NAT und MASQUERADING lässt sich im Groben so definieren:
Beim Masquerading hast du eine gültige, registrierte IP und mehrere privaten IPs. Der Masquerading-Rechner wandelt die IP-Adressen des anfragenden internen Rechners in die eine nach aussen hin gültige, registrierte IP um. Das passiert bei allen Anfragen nach aussen. Um auch die Antworten wieder der richtigen IP zuzuordnen, merkt sich der Masquerading-Rechner alle Verbindungen, so dass die registrierte IP bei Antworten wieder in die richtige private IP des anfragenden internen Rechners umgewandelt wird.

Beim NAT hast du ein ganzes Subnet an registrierten IPs. Stellt ein interner Rechner eine Anfrage nach aussen, so wird seine private IP mit einer der registrierten IPs 'gekoppelt', so dass während der ganzen Verbindung alles über diese IP läuft. Kommt also eine Antwort am ANT-Rechner an, schaut er in seine Zuordungstabelle und weiß, 'diese öffentliche IP ist gerade an diese private IP gebunden, also dorthin weiterleiten". Sobald eine Verbindung beendet ist, dann wird die öffentliche IP sofort wieder freigegeben, so dann diese ein anderer interner Rechner für eine Verbindung nutzten kann. Der große Nachteil ist, dass nur soviele Verbindungen aufgebaut werden können wie registrierte IPs vorhanden sind. Von den Kosten der registrierten IPs ganz zu schweigen...


Wie du das mit dem 'nicht lokal loggen' meint, habe ich nicht ganz verstanden. Willst du noch einen anderen Rechner reinhängen, so dass dieser loggt? Oder soll der Masq-Rechner loggen, das Log-File jedoch wo andert liegen? Das wäre kein Problem, kannt ja mit nem Job machen, nur nicht ganz in Realtime.

Für die von dir beschriebenen Anforderung brauchst du kein fertiges Firewallscript, das kannste dir selber ohne großen Aufwand schreiben, haste in 5 Minuten erledigt.

Wenn du IPTabeles verwendest und keine Services anbietest, dann ist dein System hervorragend gegen Möchtegern-Hacker und Scriptkiddies abgesichert!


Gruß, Thomas.

also die sache mit dem loggen auf einem anderen rechner interessiert mich auch...

hat da jemand info's zu, wie sowas überhaupt geht?

Hallo, also wenn ihr nur die Systemlogs (/var/log/messages usw) auf einem anderen Rechner bringen wollt seht euch mal die syslog-manpage an. Dort kann man einstellen dass er seine Meldungen zu einem anderem Rechner schickt.

Falls ihr aber vorhabt den Netzverkehr zu überwachen gibt es ein paar Möglichkeiten:
- einen Paketsniffer (tcpdump)
- einen Verbindungssniffer (iptraf)
- nen Proxy (squid)
- ipchains -ML (masquerading-tabellen)

Bei jeder dieser Möglichkeiten kann man die logs bzw. Ausgabe auf andere Rechner bringen, das ist kein Problem.

Grüsse, Stefan

Sollen alle Loggings von dem rechner an einen anderen geschickt werden?
Wenn ja, mount dir das verzeichnis /var/log per NFs und schreibe deine Logs darein. ich würde nur andere Dateinamen nehmen. und dann kannst du dir ja die Dateien mit tail -f <dateiname> an einer Konsole angucken!

Das *prob* ist so einfach das ihr euch an den Kopf fassen werdet.
Ich hab mal das was reronet vorgeschlagen hat, gemacht und hab mir noch einmal die man vom syslogd angeschaut. Man lernt ebend nie aus.
Also, einfach in die syslog.conf rein:
*.* @MeinServer(*.* - alles was da kommt)
und nicht vergessen den syslogd beim Client mit -r (bei SuSE) zu starten.
Achtung, das ist von System zu System anders. Lesen der man notwendig.

T;o)Mes

Ich kann nur empfehlen den syslog durch syslog-ng zu ersetzen. Dieser ist besser skalierbar und kann Meldungen auch per tcp versenden. Der Empfänger kann so konfiguriert werden, daß er nur Meldungen von bestimmten IP´s annimmt.

Hat sich schon mal jemand von Euch mit der automatischen Auswertung von logfiles beschäftigt?


g.mark