Patrick Schulz schrieb: > Ich habe das Ding so von einem Vorgänger übernommen. > Daher weiss ich an sich erst einmal relativ wenig über Shorewall an sich > und die jetzige Konfiguration bzw. die Beweggründe, die zu derer geführt > haben. > Allerdings hat das Hinzufügen einer IP (nämlich die des Webservers) vor > ein paar Monaten hervorragend funktioniert (nach ca. einem Tag > intensivem Wurschteln), außer die Sache mit den transparenten IPs...
Naja, die Shorewall kann zum Beispiel einsetzen, wer den Betrieb einer
Firewall nicht als Aktionskunst sieht, und wer insbesondere schonmal
über den Tellerrand von Linux hinausgeschaut und dabei gesehen hat, daß
Firewalls überall in der Welt viel viel einfacher und intuitiver
funktionieren als dieses unerträgliche ipchains-Gefrickel.
Der Shorewall-Entwickler Tom Eastep hat übrigens im vergangenen Frühjahr
den Kram hingeschmissen, woraufhin Shorewall in ein "echtes"
Community-Projekt umgebaut wurde und somit noch für ein Weilchen
entwickelt werden dürfte. Tom ist danach auch wieder in die Entwicklung
eingestiegen.
> Vielleicht noch ein paar Anmerkungen zur Konfiguration:
> Es exisitieren folgende Zonen loc, net, fw.
>
> Interpretiert habe ich die Zonen folgender Maßen:
> loc: Mein "Intranet"
> net: alles von ausserhalb im WWW
> fw: Der herzallerliebste Router als solcher...?
>
> Liegt vielleicht hier schon mein Problem?
Nein. Das stimmt genau.
> Ich habe die IP Adresse damals in /etc/network/interfaces eingetragen.
> Das sieht dort ca. so aus:
> # The loopback interface
> auto lo
> iface lo inet loopback
>
> # The first network card - this entry was created during the Debian
> installation
> # (network, broadcast and gateway are optional)
>
> auto eth0
> iface eth0 inet static
> address 12.34.56.98
> netmask 255.255.255.248
> broadcast 12.34.56.103
> gateway 12.34.56.97
> up ip addr add 12.34.56.99/29 brd 12.34.56.103 dev eth0 label eth0:0
>
>
> #auto eth1
> iface eth1 inet static
> address 192.168.1.150
> netmask 255.255.255.0
> network 192.168.1.0
> broadcast 192.168.1.255
Das ist Debian. Wobei man dort auch einfach "iface eth0:1 inet static"
usw. schreiben kann. Die extrem komplizierte Schreibweise hier mit dem
Umweg über iproute habe ich noch nie gesehen. Das o.g. Wurschteln
hättest Du Dir also sparen können. ;-)
> Innerhalb der Shorewall configs habe ich meiner Erinnerung nach nur die
> rules angepasst, sonst nix.
>
> Das interfaces file von shorewall enthält:
> net eth0 12.34.56.103 tcpflags,blacklist,norfc1918
> loc eth1 detect routeback
Sieht auch plausibel aus. Allerdings bin ich mir nicht sicher, ob Du
hier wirklich auf den Eintrag des virtuellen zweiten Interface auf der
eth0 verzichten kannst. Da müßtest Du mal die Doku zu Rate ziehen.
> So, mehr weiss ich jetzt auch nicht mehr.
>
>
> Bei Dir scheint das ganze ja ziemlich unproblematisch zu laufen, wenn
> auch mit dyn. IPs.
> Könnte es sein, dass dort ein gewisser flag gesetzt wurde, damit das
> funktioniert?
> Oder wie hast Du das gelöst, dass Du über Port 80 z.B. eine bestimmte
> Maschine erreichst. Das ist doch NAT, oder?!?
Eingehend ist DNAT ("Destination NAT"), ausgehend SNAT ("Source NAT"),
wobei letzeres unter Linux als Masquerading bekannt ist und unter
Shorewall in der Datei "masq" etwas Konfiguration braucht.
Mit der dynamischen IP ist es etwas haariger, weil in ppp-up die
Firewall neu geladen werden muß. Ansonsten ist es recht harmlos. Ich
glaube nicht, daß ich da größere Anpassungen gemacht habe.
Welche Shorewall-Version hast Du denn da? Wenn die Maschine unter Debian
läuft und ein Erbstück ist, könnte das Woody sein:
http://www.shorewall.net/FAQ.htm#faq46
"The first release of Shorewall was in March of 2001. Shorewall 1.2.12
was released in May of 2002. It is now the year 2005 and Shorewall 2.2
is available. Shorewall 1.2.12 is poorly documented and is missing many
of the features that Shorewall users find essential today and it is
silly to continue to run it simply because it is bundled with an ancient
Debian release."
-martin
--
+-------------------------+------------------------+
| Martin Schmitt | Schmitt Systemberatung |
| http://www.scsy.de/~mas | http://www.scsy.de |
+-------------------------+------------------------+
signature.asc
Description: OpenPGP digital signature
-- ---------------------------------------------------------------------------- PUG - Penguin User Group Wiesbaden - http://www.pug.org
