From mpsnet@gmx.de Mon Dec 13 22:55:39 1999
From: Matthias Petermann <mpsnet@gmx.de>
To: lug-dd@mailman.schlittermann.de
Subject: [Lug-dd] Masquerading
Date: Mon, 13 Dec 1999 23:44:50 +0100
Message-ID: <99121323582800.00579@sun.mp>
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="===============4737805092437683227=="

--===============4737805092437683227==
Content-Type: text/plain; charset="utf-8"
Content-Transfer-Encoding: quoted-printable

Hallo,

ich habe ein ganz merkw=C3=BCrdiges Problem mit Firewall / Masquerading. Ich =
benutze
ein Script zum Starten der Firewall, die nur HTTP- und Nameserver- Connections
passieren lassen soll. Die Firewall l=C3=A4uft auf einem Server mit Internet-
Verbindung, der den Zugang auch den anderen Rechnern im Netz zur Verf=C3=BCgu=
ng
stellen soll.

<script>

# masquerading

ETH_IP=3D 'hostname -i | tr -d ' `'
ipfwadm -F -a accept -m -b -P tcp -S $ETH_IP/24
ipfwadm -F -a accept -m -b -P udp -S $ETH_IP/24

</script>

Ob ich mit einem Client (Gateway auf den Server mit d. Firewall gesetzt)
auf das Internet zugreifen kann scheint nun ganz von Zufall abh=C3=A4ngig zu =
sein.
Zur Vereinfachung hatte ich auf dem Server eine permanente Verbindung ins
Internet laufen. Wenn es einmal geklappt hat, dann meistens nachdem ich irgend
welche anderen Einstellungen mit ipfwadm ausprobiert habe. Wenn ich danach die
Firewall- Tabelle geflutet habe (davon ausgehend, dass dann wirklich alles weg
ist) und mein o.g. script ausf=C3=BChrte, hatte ich oft Erfolg - leider nicht=
 mehr
nachvollziehbar. Kann es sein, dass in dem Script ein ganz entscheidender
Eintrag fehlt ?=20



--===============4737805092437683227==--


From hessler@cns.mpg.de Tue Dec 14 09:50:47 1999
From: Sven Hessler <hessler@cns.mpg.de>
To: lug-dd@mailman.schlittermann.de
Subject: Re: [Lug-dd] Masquerading
Date: Tue, 14 Dec 1999 10:04:07 +0100
Message-ID: <38560807.13BCBF70@cns.mpg.de>
In-Reply-To: <99121323582800.00579@sun.mp>
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="===============1937295066707848438=="

--===============1937295066707848438==
Content-Type: text/plain; charset="utf-8"
Content-Transfer-Encoding: quoted-printable

Matthias Petermann wrote:

> ich habe ein ganz merkw=C3=BCrdiges Problem mit Firewall / Masquerading. Ic=
h benutze
> ein Script zum Starten der Firewall, die nur HTTP- und Nameserver- Connecti=
ons
> passieren lassen soll.=20
>=20
> <script>
>=20
> # masquerading
>=20
> ETH_IP=3D 'hostname -i | tr -d ' `'

Das ist die IP-Adresse Deines Servers, nicht des internen Netzes bzw.
des Client-Rechners.


> ipfwadm -F -a accept -m -b -P tcp -S $ETH_IP/24
> ipfwadm -F -a accept -m -b -P udp -S $ETH_IP/24
>=20
> </script>

Hiermit laesst Du alle tcp/udp-Pakete durch, die von Deinem Server
kommen.


> Kann es sein, dass in dem Script ein ganz entscheidender
> Eintrag fehlt ?

Ja. Du musst dem Server sagen, dass er Anfragen aus dem internen Netz
(z.B. 192.168.1.0/24) [1] bzw. von einem bestimmten Rechner des
internen Netzes (192.168.1.102/24) [2] durchlassen soll.

[1]

-- schnipp --

# alle Rechner des internen Netzes duerfen raus
ipfwadm -F -p deny
ipfwadm -F -a m -S 192.168.1.0/24 -D 0.0.0.0/0

-- schnapp --


[2]

-- schnipp --

# nur der Rechner mit IP x.x.x.102 darf raus
ipfwadm -F -p deny
ipfwadm -F -a m -S 192.168.1.102/24 -D 0.0.0.0/0

-- schnapp --


Das eigentliche Anliegen, nur Anfragen auf Port 80 und 53
durchzulassen, bleibt dem geneigten Leser als Uebung ueberlassen.


Literatur:

IP-Masquerade.gz=20
Firewall-HOWTO.gz
man ipfwadm


sven



--===============1937295066707848438==--


From twerner@intercomm.de Wed Dec 15 00:51:35 1999
From: Torsten Werner <twerner@intercomm.de>
To: lug-dd@mailman.schlittermann.de
Subject: [Lug-dd] Re: Masquerading
Date: Tue, 14 Dec 1999 18:38:51 +0100
Message-ID: <19991214183851.C26704@lumpi.urz.tu-dresden.de>
In-Reply-To: <99121323582800.00579@sun.mp>
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="===============6615213329026881332=="

--===============6615213329026881332==
Content-Type: text/plain; charset="utf-8"
Content-Transfer-Encoding: 7bit

Hallo Matthias,

[IP-Masqerading]
On Mon, Dec 13, 1999 at 11:44:50PM +0100, Matthias Petermann wrote:
> Kann es sein, dass in dem Script ein ganz entscheidender Eintrag
> fehlt?

es gibt ein Programm/Paket ipmasq. Einfach installieren -> geht. Das
gilt zumindest fuer Debian.

Tschuess
Torsten
-- 
Torsten Werner                          Dresden University of Technology
email: twerner(a)intercomm.de                phone/fax: +49 3501 530061/11
Vote against SPAM!                   http://www.politik-digital.de/spam/

--===============6615213329026881332==
Content-Type: application/pgp-signature
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename="attachment.sig"
MIME-Version: 1.0

LS0tLS1CRUdJTiBQR1AgU0lHTkFUVVJFLS0tLS0KVmVyc2lvbjogR251UEcgdjEuMC4wIChHTlUv
TGludXgpCkNvbW1lbnQ6IEZvciBpbmZvIHNlZSBodHRwOi8vd3d3LmdudXBnLm9yZwoKaVFDVkF3
VUJPRmFBcVhlckE3RDNSQTQ5QVFHVTdnUC9YYTRrb1hQMmlRYkxHbHVSRFlYOXZSWXdLWitUUEJK
SQo3ejRNemV6RXBGaHZrYURWRnhQSVNwLzR1UTRGMzRIcjFrVStnTUNLeFZBZkZhQzQyOXFKSWR3
UnV0eUtqdTJHCmRod2JFS1BHTUc5dHJDYjZVSEM3Rld4LzFPK2NUWFd5dzVyZW9zNDNrNk10aTc5
UFNBc0ZzOWlMcytUbEpsMlgKUmt3SzIvZW1XSnM9Cj1MejVuCi0tLS0tRU5EIFBHUCBTSUdOQVRV
UkUtLS0tLQo=

--===============6615213329026881332==--