Paketfilter

Hallo zusammen ich habe ein Linux Problem.
Es handelt sich nicht um ein programmiertechnisches
Problem, jedoch glaube ich, dass man mir hier am
schnellsten helfen kann.

Ich bin per DSL ans Internet angeschlossen.
Hinter der dem Modem hängt ein Router welcher
die Einwahl zum meinem Provider übernimmt.
An dem Router hängt ein Switch und an diesem
alle Rechner meines Netzwerkes.

Nun habe ich einen Rechner mit 2 Netzwerkkarten
und einem RedHat9 System (keine grafische Oberfläche)
als Firewall zwischen Router und Switch gepackt.

Nun zu meinem Problem:
Kann mir jemand sagen wie ein Paketfilter-Script
für so eine Konstelation ausehen muss.
Ich arbeite seite einer Woche daran,
nur ich schaffe es nicht, dass irgendein Rechner
meines Netzwerkes auf das Internet zugreifen kann.

Meine Scripts basieren im Moment auf der FORWARD Kette
von iptables.

Ich hoffe jemand kann mir einen kleinen Denkanstoß geben.
Danke schon mal im voraus.

Bye Peter.

Viets

Hi,
also so sieht das ca. bei mir aus:

Nicht getestet, da Linux Router kaputt

ich hab das in ein *.sh skript geschrieben:

#!/bin/sh

echo "1" > /proc/sys/net/ipv4/ip_forward
#dies muss sein damit du forwarden kannst, damit dies funzt, muss aber im Kernel irgendwas eincompiliert sein, kann mom nicht nachgucken was, aber ist standardmäßig glaub drin. Falls du deinen eigenen Kernel kompilert hast muss du mal ausprobieren was das ist das hieß glaub irgendwas mit module und proc aber kA

#Erstmal alle vorhandenen Reglen löschen
iptables --flush
iptables --table nat --flush
iptables --delete-chain
iptables --table nat --delete-chain

# Hier wird alles reingeschrieben was erlaubt sein sollen
iptables -N Erlaubt
iptables -F Erlaubt

#ping ist erlaubt
iptables -A Erlaubt -p icmp -j ACCEPT

#http ist erlaubt
iptables -A Erlaubt -p tcp --sport 80 -j ACCEPT
iptables -A Erlaubt -p udp --sport 80 -j ACCEPT

#DNS ist erlaubt
iptables -A Erlaubt -p tcp --sport 53 -j ACCEPT
iptables -A Erlaubt -p udp --sport 53 -j ACCEPT

#Nun die Input Regeln für den Router
iptables -F INPUT
iptables -A INPUT -j Erlaubt

iptables -P INPUT DROP #Alles was von der Erlaubt Regel nicht erlaubt wurde, wegschmeißen

#Nun die Output Regeln für den Router

iptables -F OUTPUT
iptables -P OUTPUT ACCEPT #Raus darf alles

#nun die Forward Regeln für die anderen Rechner im Netzwerk
iptables -F FORWARD
iptables -A FORWARD -j Erlaubt
iptables -A FORWARD --in-interface eth1 -j ACCEPT # alles von innen annehmen
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE #und mit inet ip maskieren
iptables -P FORWARD DROP #Alles was von der Regel Erlaubt nicht erlaubt wurde wegschmeißen

So, das war mein Skript, bei mir funzt es. NAtürlcih muss du bei Erlaubt noch mehr Dienste hinzufügen, es sei den du willst nur surfen

Ich hoffe ich konnte dir helfen.

Mfg
Viets

[ Dieser Beitrag wurde am 11.07.2003 um 14:16 Uhr von Viets editiert. ]

TeeHee

Also wenn du so ne kombination hast, würd ich eher router -> redhat kiste -> switch machen als router -> switch -> redhat kiste.

Ist durchsatztechnisch besser und vom konzept her würd ichs auch als "richtig" einstufen.

Zum thema paketfilter kann ich die monmotha firewall empfehlen. leicht zu konfigurieren, läuft, und ist flexibel.

Peter schrieb:

RedHat9 System (keine grafische Oberfläche) als Firewall zwischen Router und Switch

TeeHee schrieb:

würd ich eher router -> redhat kiste -> switch machen

Hab ich was verpasst?

TeeHee

Hinter der dem Modem hängt ein Router welcher
die Einwahl zum meinem Provider übernimmt.
An dem Router hängt ein Switch und an diesem
alle Rechner meines Netzwerkes.

weiss net...

Jansen

Peter schrieb:

Hinter der dem Modem ... Router ... Switch ... alle Rechner meines Netzwerkes.

Nun habe ich einen Rechner ... als Firewall zwischen Router und Switch gepackt.

Zustand-Alt
Zustand-Neu

Tip: Beiträge komplett lesen und einzelne Abschnitte in Beziehung setzen.