Ja, es ist Woody.
Allerdings:
shorewall version
1.4.10c
*jubeljubelfreufreu*
Die Sache mit den interfaces werde ich mal testen.
Bei Dir (in Deiner Konfiguration) erscheinen jedenfalls die richtigen IP
Adressen in Apache Logs?
Dank und Gruß
Patrick
Martin Schmitt schrieb:
> Patrick Schulz schrieb:
>
>
>>Ich habe das Ding so von einem Vorgänger übernommen.
>>Daher weiss ich an sich erst einmal relativ wenig über Shorewall an sich
>>und die jetzige Konfiguration bzw. die Beweggründe, die zu derer geführt
>>haben.
>>Allerdings hat das Hinzufügen einer IP (nämlich die des Webservers) vor
>>ein paar Monaten hervorragend funktioniert (nach ca. einem Tag
>>intensivem Wurschteln), außer die Sache mit den transparenten IPs...
>
>
> Naja, die Shorewall kann zum Beispiel einsetzen, wer den Betrieb einer
> Firewall nicht als Aktionskunst sieht, und wer insbesondere schonmal
> über den Tellerrand von Linux hinausgeschaut und dabei gesehen hat, daß
> Firewalls überall in der Welt viel viel einfacher und intuitiver
> funktionieren als dieses unerträgliche ipchains-Gefrickel.
>
> Der Shorewall-Entwickler Tom Eastep hat übrigens im vergangenen Frühjahr
> den Kram hingeschmissen, woraufhin Shorewall in ein "echtes"
> Community-Projekt umgebaut wurde und somit noch für ein Weilchen
> entwickelt werden dürfte. Tom ist danach auch wieder in die Entwicklung
> eingestiegen.
>
>
>>Vielleicht noch ein paar Anmerkungen zur Konfiguration:
>>Es exisitieren folgende Zonen loc, net, fw.
>>
>>Interpretiert habe ich die Zonen folgender Maßen:
>>loc: Mein "Intranet"
>>net: alles von ausserhalb im WWW
>>fw: Der herzallerliebste Router als solcher...?
>>
>>Liegt vielleicht hier schon mein Problem?
>
>
> Nein. Das stimmt genau.
>
>
>>Ich habe die IP Adresse damals in /etc/network/interfaces eingetragen.
>>Das sieht dort ca. so aus:
>># The loopback interface
>>auto lo
>>iface lo inet loopback
>>
>># The first network card - this entry was created during the Debian
>>installation
>># (network, broadcast and gateway are optional)
>>
>>auto eth0
>>iface eth0 inet static
>> address 12.34.56.98
>> netmask 255.255.255.248
>> broadcast 12.34.56.103
>> gateway 12.34.56.97
>> up ip addr add 12.34.56.99/29 brd 12.34.56.103 dev eth0 label eth0:0
>>
>>
>>#auto eth1
>>iface eth1 inet static
>> address 192.168.1.150
>> netmask 255.255.255.0
>> network 192.168.1.0
>> broadcast 192.168.1.255
>
>
> Das ist Debian. Wobei man dort auch einfach "iface eth0:1 inet static"
> usw. schreiben kann. Die extrem komplizierte Schreibweise hier mit dem
> Umweg über iproute habe ich noch nie gesehen. Das o.g. Wurschteln
> hättest Du Dir also sparen können. ;-)
>
>
>>Innerhalb der Shorewall configs habe ich meiner Erinnerung nach nur die
>>rules angepasst, sonst nix.
>>
>>Das interfaces file von shorewall enthält:
>>net eth0 12.34.56.103 tcpflags,blacklist,norfc1918
>>loc eth1 detect routeback
>
>
> Sieht auch plausibel aus. Allerdings bin ich mir nicht sicher, ob Du
> hier wirklich auf den Eintrag des virtuellen zweiten Interface auf der
> eth0 verzichten kannst. Da müßtest Du mal die Doku zu Rate ziehen.
>
>
>>So, mehr weiss ich jetzt auch nicht mehr.
>>
>>
>>Bei Dir scheint das ganze ja ziemlich unproblematisch zu laufen, wenn
>>auch mit dyn. IPs.
>>Könnte es sein, dass dort ein gewisser flag gesetzt wurde, damit das
>>funktioniert?
>>Oder wie hast Du das gelöst, dass Du über Port 80 z.B. eine bestimmte
>>Maschine erreichst. Das ist doch NAT, oder?!?
>
>
> Eingehend ist DNAT ("Destination NAT"), ausgehend SNAT ("Source NAT"),
> wobei letzeres unter Linux als Masquerading bekannt ist und unter
> Shorewall in der Datei "masq" etwas Konfiguration braucht.
>
> Mit der dynamischen IP ist es etwas haariger, weil in ppp-up die
> Firewall neu geladen werden muß. Ansonsten ist es recht harmlos. Ich
> glaube nicht, daß ich da größere Anpassungen gemacht habe.
>
> Welche Shorewall-Version hast Du denn da? Wenn die Maschine unter Debian
> läuft und ein Erbstück ist, könnte das Woody sein:
>
> http://www.shorewall.net/FAQ.htm#faq46
>
> "The first release of Shorewall was in March of 2001. Shorewall 1.2.12
> was released in May of 2002. It is now the year 2005 and Shorewall 2.2
> is available. Shorewall 1.2.12 is poorly documented and is missing many
> of the features that Shorewall users find essential today and it is
> silly to continue to run it simply because it is bundled with an ancient
> Debian release."
>
> -martin
>
>
--
----------------------------------------------------------------------------
PUG - Penguin User Group Wiesbaden - http://www.pug.org
