Hallo,

ich möchte mir gerne eine iptables Firewall aufsetzen und habe dazu ein paar Fragen dazu.

Erstmal meine Rechnerkonfiguration:

Mein Rechner (SuSe 8.0 - 192.168.0.x) ist an einem Netgear RP114 Hardware DSL-Router angeschlossen. Dieser Router übernimmt auch gleichzeitig die Einwahl ins Internet.

Von meinem Rechner geht ein Netzwerkkabel an den Router. An dem Router ist das Kabel zum DSL Modem angeschlossen.

Am Router hängen noch 3 andere PCs (1 Linux 7.2, 2 Windows 2000 Rechner)

Der Router (192.168.0.1) übernimmt DHCP, DNS und NAT.

Meine Fragen:

Was muß ich beachten wenn ich eine iptables basierte Firewall aufsetzen möchte ?

Wie könnte eine Beispielkonfiguration aussehen, damit erstmal eine Verbindung ins internet funktioniert ?
- soll ich über eth0 oder ppp0 gehen ?
- Was ist mit NAT (Masquerading) ??

Ich hatte mal ein Script welches diese Kernel Parameter setzt:

for if in $inet $internes_netz ; do
echo "1" > /proc/sys/net/ipv4/conf/$if/rp_filter
echo "0" > /proc/sys/net/ipv4/conf/$if/accept_redirects
echo "1" > /proc/sys/net/ipv4/conf/$if/accept_source_route
echo "1" > /proc/sys/net/ipv4/conf/$inet/log_martians
echo "0" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
done

jetzt bei SuSe 8.0 habe ich die Verzeichnisse "$if" und "$inet" nicht.

Wäre nett wenn mir jemand das erklären könnte.

Ich hoffe es kann mir jemand helfen.

Grüße
DaGrrr

1. Bitte lies die FAQ des Forums
2. Benutze doch bitte die Suchfunktion
3. $if und $inet sind variablen, die musst du setzen.
4. Warum verwendest du einen Router, wenn du ihn sowieso nicht nutzen willst?

Danke für die Aufmerksamkeit.

1. Bitte lies die FAQ des Forums

Habe ich gerade nochmals getan und in Bezug auf iptables nichts gefunden, was mir weiterhelfen könnte.


2. Benutze doch bitte die Suchfunktion

Hab ich ebenfalls getan und einige interessante Threads gefunden die mich interessieren. Leider hilft einiges nicht weiter, da ich ein relativ neuer Linux User bin.


3. $if und $inet sind variablen, die musst du setzen.

Danke, jetzt weiß ich mehr :)


4. Warum verwendest du einen Router, wenn du ihn sowieso nicht nutzen willst?

Ich habe nirgendwo geschrieben das ich den nicht weiter nutzen möchte. :confused:

Wie mein Netzwerk aufgebaut ist habe ich oben schon beschrieben.
Was ich wissen wollte ist ob ich bei dem iptables Script noch Masquerading, weiterleitung machen muß. Eigentlich macht der Router das ja, oder ?

Reicht eth0 zur Einwahl oder ppp0 ?

Grüße
DaGrrr

hat dein router einen integrierten hub?? auf welchen rechner willst du die firewall aufsetzen?

eth0 reicht für den Verbindungsaufbau, den Rest macht doch der Router

Hallo boxa,

Der Router hat einen integrierten Switch.

Die Firewall soll nur den Rechner mit SuSe 8.0 schützen, wo die Firewall auch installiert sein soll.
Die beiden W2K Rechner haben eine Firewall.
Der Rechner mit SuSe 7.2 ist nur ein Testrechner.


eth0 reicht für den Verbindungsaufbau, den Rest macht doch der Router

Danke, das wollte ich wissen :) :)

Grüße

DaGrrr

wenn das so ist, brauchst du kein NAT. Du musst mit iptables nur dafür sorgen dass die notwendigen ports offen sind. du kannst eine von zwei strategien verfolgen. Allles schließen und dann erlauben was du brauchst, oder alles erlauben und das verbieten, was du nicht brauchst. Es liegt auf der Hand , was besser ist...

soll der suse rechner nur als firewall für sich selber dienen
oder willst du ihn als firewall für alle rechner benutzen,
dann kannst du aber kein dhcp für die anderen clients
benutzen.

was willst du erreichen, wenn du von nat sprichst nehm ich
an du willst dass das netz dann so aussieht (nicht phsisch)

router - suserechner / Client 1
*********************\ Client 2

d.h du gibst deinem suse ding zwei ips
192.168.0.2 und 192.168.1.2
den clintes immer im netz 192.168.1.0 eine.
diese solllen dann den suse rechner als router
benutzen, der die anfragen an den hardwarerotuer weiterleitet.

Wenn du das so willst, wieso dann der hardwarerouter? nimm
doch den suserechner als kompletten router her.

Hallo,


Allles schließen und dann erlauben was du brauchst

genau so möchte ich es machen.


wenn das so ist, brauchst du kein NAT. Du musst mit iptables nur dafür sorgen dass die notwendigen ports offen sind

Danke !! :)

@msi

Der Sue 8.0 Rechner soll nur sich selber schützen.

Ich habe die 3 anderen Rechner nur der Vollständigkeit halber erwähnt.
Entschuldige wenn ich mich nicht verständlich ausgedrückt habe. Mein Fehler.

Ich wußte nicht ob ich in dem Script NAT reinnehmen mußte.
boxa hat mir die Antwort gegeben.

Danke für Eure Hilfe :) :)

Grüße
DaGrrr

wo genau liegt dein Problem?

ps du willst doch etwa nicht dass wir dir ein
komplettes firewallscript schreiben?????
wenn das so ist schau lieber auf
www.linuxguruz.org/iptables, wir sind
gerne bereit dir bei problemen zu helfen
nicht aber deine Arbeit zu machen.

Hallo msi,

nein, ein komplettes Script wollte ich nicht haben.
Ich hatte ein paar verständnisschwierigkeiten was ich als device eintragen muß... eth0, ppp0 etc. weil ich ja ein DSL Router vorm Rechner habe und ob ich noch extra NAT brauche.

Die Fragen wurden geklärt.

Danke Nochmal an alle :)

P.S. Der link www.linuxguruz.org ist klasse !!
Danke :)