Andreas Kretschmer wrote:
am Thu, dem 19.09.2002, um 12:41:40 +0200 mailte Carsten Friede folgendes:
Also, einfach ein Bootscript (das sind die Dinger, die als Paramater [start|stop] haben wollen, und das an geeigneter Stelle beim booten
Nein, ich meinte eher, wie das funktioniert bei sich ständig ändernden IPs beim Dialout.
Trenne Dich vom Gedanken an IP's und denke mal mehr in Richtung Interface. Du mußt keine diekten IP's angeben, zumindest nicht bei iptables. Es ist flexibel genug, um auch mit dynamischen IP's umzugehen, indem man einfach mit den Interfaces arbeitet.
Beispiel: (mit $IPT = /pfad/zu/iptables)
$IPT -A block -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -A block -m state --state NEW -i ! ippp0 -j ACCEPT
erlaub alles, was bereits aufgebaut oder aber zu einer bestehenden Verbindung gehört (Zeile 1) sowie alle Verbindungswünsche (Neuaufbau) von allen Schnittstellen _außer_ ippp0 (das ist mein ISDN-Interface).
Im lokalen Netz habe ich nur einen Rechner, und der ist vertrauenswürdig.
Wichtig ist in dem Zusammenhang -i und -o für in-interface und out-interface. Welche IP die haben, ist Wuarscht.
Ähm, ich benutze IPChains. Und so wie Du das beschreibst, würde das bedeuten, daß ich nur Interface abhängig die Rules setzen muß. Ich weiß jetzt nicht genau, ob ipchains das so einfach mitmacht, wenn das Interface nicht da ist.[Es macht's mit. Gerade ausprobiert.] Wenn dann die Verbindung aufgebaut ist, dann würde bei den Rules in der destination "Any" stehen. Stört auch nicht weiter, bis auf z.B. anti-spoofing Regeln, wo es meines erachtens nach doch schon ganz praktisch wäre zumindest die lokale IP zu wissen. Alles andere ist kein Problem, so wird's z.B. bei SuSE seit Version 6.4 mit dem Paket firewals gemacht. Es war allerdings auch der Grund für mich der Grund ein selbstgeschriebenes Skript zu verwenden, da ich mit dieser Taktik nicht so ganz einverstanden war. Das eigentliche Problem ist doch aber immer noch, daß der Aufruf meines Filterskriptes aus /etc/ppp/ip-up nicht klappt. Warum das so ist würde ich gerne wissen wollen. Das Skript ip-up ist meines Wissens nach das letzte, was nach dem Handshake und Austausch der IP's gestartet wird. Zu diesem Zeitpunkt müßte alles "klar" sein. D.h. mein Filter müßte richtig aufgebaut werden. Wird er aber nicht. Es kommen nur verstümmelte Rules raus. Wieso???
Da interessiert mich brennend.
MfG
Carsten