PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Firewall und Forwarding



Timbo
23.01.03, 23:49
Hi,

ich möchte folgendes realisieren:

Paketfilter mit IPCHAINS
Netzwerkkarte mit mehreren logischen offiziellen IP´s
2te NW-Karte mit priv. IP
2 Rechner dahinter, der eine mit Web,ftp und DNS
der zweite als Mailserver.

Wie funktioniert das mit dem "forwarding der einzelnen Daemons?

OFF. IP´s:
IP 181=Web
IP 179=ftp
IP 178=DNS
IP 180=Mail

Priv IP´s
IP 100 Web, ftp,DNS
IP 200 Mail

Hat den das was mit der forward Chain von IPCHAINS zu tun?

Für jede Info bin ich dankbar.

Timbo

krueger
24.01.03, 09:47
Hi,

nein, mit dem forwarding mittels IPCAINS hat das nichts zu tun.
In deiner Liste der IPs fehlt noch die priv. IP der 2. NW-Karte (z.B. 50).

Nach aussen hin soll also z.B. der WWW-Serverunteer 181:80 erreichbar
sein. Damit die Anfrage an 100:80 weitergeleitet wird, wuerde ich einen
IP-forwarder wie z.B. rinetd (/etc/rinetd.conf) einsetzen.

Fuer Dienste, die aus dem priv. Netz etwas nach draussen schicken sollen
(z.B. SMTP) brauchst du dann masquerading.

Als firewall chains brauchts Du nur die INPUT- und OUTPUT-Chains auf
dem eth mit den off. IPs. Es soll (und kann) ja gar nichts direkt durch
die Firewall hindurch (=FORWARD-Chain).

Viel Spass.

P.S.: Es gibt bestimmt auch noch andere Ansaetze, was den rinetd angeht.

Timbo
24.01.03, 10:53
Hi Krueger,

dank Dir erstmal.

Das mit

"Es soll (und kann) ja gar nichts direkt durch
die Firewall hindurch (=FORWARD-Chain)."


check ich nich ganz.


Wie meinst Du das?
Was hat das mit Forward zutun?
Bei mir steht die Forward auf ACCEPT,
sonst müsste ich ja die Forwards auch
noch definieren.

Timbo

krueger
24.01.03, 11:36
Hi,

wenn ich dich richtig verstanden habe verwendest Du intern
priv. IPs, damit diese nicht direkt angesprochen werden koennen.
Und damit soll wohl per Definition kein Paket direkt von aussen
nach intern (das waere dann in einer ACCEPT-Regel in der FORWARD-
Chain zu definieren).

Also: -P FORWARD DROP (obwohl das ja wg. d. priv. IPs obsolet)

Du kannst es genausogut auch auf ACCEPT setzen, jedoch mit DROP
wird dann sofort klar, dass bei INPUT etwas gemacht werden muss.

Bis denne

krueger

Timbo
24.01.03, 11:44
Hi,

was ich an der ganzen Sache nicht verstehe,
veilleicht dank ich da auch zu kompliziert, ist
wenn ich in der INPUT CHAIN schon regeln definiere,
die gewisse ports und ip´s abblockt, dann kommt doch
das paket gernicht weiter, dafür brauch ich doch dann
nichtmehr die FORWARD-CHAIN.

Die Pakete die ja weiter dürfen werden in der INPUT-CHAIN
dementsprechend auf ACCEPT gesetzt.

Denn es gibt ja kein Paket was ich auf die ext. NW-Karte
lasse, das dann gernicht weiter darf.

Timbo

krueger
24.01.03, 12:03
Jepp,

erst ab iptables gibt es die strikte Trennung zwischen
IN, OUT und FORWARD.

Bei ipfwadm und ipchains "ueberlagern" sich die Regeln.

Bei iptables kann nur eine CHAIN greifen.

Bis denne

krueger

Timbo
24.01.03, 12:08
Ah,ok,

jetzat hat´s geklappt, ist quasi
ein kleiner denkfehler bei der Entwicklung.


Timbo