From hessler@cns.mpg.de Tue Dec 14 09:50:47 1999
From: Sven Hessler <hessler@cns.mpg.de>
To: lug-dd@mailman.schlittermann.de
Subject: Re: [Lug-dd] Masquerading
Date: Tue, 14 Dec 1999 10:04:07 +0100
Message-ID: <38560807.13BCBF70@cns.mpg.de>
In-Reply-To: <99121323582800.00579@sun.mp>
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="===============6074726398031284578=="

--===============6074726398031284578==
Content-Type: text/plain; charset="utf-8"
Content-Transfer-Encoding: quoted-printable

Matthias Petermann wrote:

> ich habe ein ganz merkw=C3=BCrdiges Problem mit Firewall / Masquerading. Ic=
h benutze
> ein Script zum Starten der Firewall, die nur HTTP- und Nameserver- Connecti=
ons
> passieren lassen soll.=20
>=20
> <script>
>=20
> # masquerading
>=20
> ETH_IP=3D 'hostname -i | tr -d ' `'

Das ist die IP-Adresse Deines Servers, nicht des internen Netzes bzw.
des Client-Rechners.


> ipfwadm -F -a accept -m -b -P tcp -S $ETH_IP/24
> ipfwadm -F -a accept -m -b -P udp -S $ETH_IP/24
>=20
> </script>

Hiermit laesst Du alle tcp/udp-Pakete durch, die von Deinem Server
kommen.


> Kann es sein, dass in dem Script ein ganz entscheidender
> Eintrag fehlt ?

Ja. Du musst dem Server sagen, dass er Anfragen aus dem internen Netz
(z.B. 192.168.1.0/24) [1] bzw. von einem bestimmten Rechner des
internen Netzes (192.168.1.102/24) [2] durchlassen soll.

[1]

-- schnipp --

# alle Rechner des internen Netzes duerfen raus
ipfwadm -F -p deny
ipfwadm -F -a m -S 192.168.1.0/24 -D 0.0.0.0/0

-- schnapp --


[2]

-- schnipp --

# nur der Rechner mit IP x.x.x.102 darf raus
ipfwadm -F -p deny
ipfwadm -F -a m -S 192.168.1.102/24 -D 0.0.0.0/0

-- schnapp --


Das eigentliche Anliegen, nur Anfragen auf Port 80 und 53
durchzulassen, bleibt dem geneigten Leser als Uebung ueberlassen.


Literatur:

IP-Masquerade.gz=20
Firewall-HOWTO.gz
man ipfwadm


sven



--===============6074726398031284578==--