Re: [PUG] Re: iptables
hi, On Sat, 2003-01-18 at 09:54, Jochen Hein wrote: , | #Allow unlimited LAN traffic | /sbin/iptables -A INPUT -i $INTINT -s $LOCALNETWORK -j ACCEPT | /sbin/iptables -A OUTPUT -o $INTINT -s $LOCALNETWORK -j ACCEPT ` Regeln verwenden, die auf eth0 beide Netze erlauben, und dann nur noch auf das Device gehen? du meinst also, das -s $LOCALNETWORK einfach herrausnehmen? sodass nur noch eth0 als Filterquelle angesehen wird. Verstehe ich das richtig? Und ja, es gelten in beiden Netzen die selbe Policy. cu denny -- Denny Schierz [EMAIL PROTECTED] signature.asc Description: This is a digitally signed message part
Re: [PUG] Re: iptables
At 18:36 18.01.2003 +0100, you wrote: hi, On Sat, 2003-01-18 at 09:54, Jochen Hein wrote: , | #Allow unlimited LAN traffic | /sbin/iptables -A INPUT -i $INTINT -s $LOCALNETWORK -j ACCEPT | /sbin/iptables -A OUTPUT -o $INTINT -s $LOCALNETWORK -j ACCEPT ` Regeln verwenden, die auf eth0 beide Netze erlauben, und dann nur noch auf das Device gehen? du meinst also, das -s $LOCALNETWORK einfach herrausnehmen? sodass nur noch eth0 als Filterquelle angesehen wird. Verstehe ich das richtig? Also ich würde einfach folgende Änderung vornehmen: echo Seting up firewall. LOCALNETWORK=192.168.1.0/255.255.255.0 ändern nach: echo Seting up firewall. LOCALNETWORK=192.168.1.0/255.255.255.0 LOCALNETWORK2=53.101.48.0/255.255.255.0 Und dann für jeden Eintrag der für $LOCALNETWORK definiert wird genau den selben für $LOCALNETWORK2 erstellen. Also z.B.: #Allow unlimited LAN traffic /sbin/iptables -A INPUT -i $INTINT -s $LOCALNETWORK -j ACCEPT /sbin/iptables -A OUTPUT -o $INTINT -s $LOCALNETWORK -j ACCEPT /sbin/iptables -A INPUT -i $INTINT -s $LOCALNETWORK2-j ACCEPT /sbin/iptables -A OUTPUT -o $INTINT -s $LOCALNETWORK2-j ACCEPT #This next allows local broadcasts from this machine. /sbin/iptables -t nat -A OUTPUT -s $LOCALNETWORK -j ACCEPT /sbin/iptables -t nat -A POSTROUTING -o $INTINT -s $LOCALNETWORK -j ACCEPT /sbin/iptables -t nat -A PREROUTING -s $LOCALNETWORK -j ACCEPT /sbin/iptables -t nat -A OUTPUT -s $LOCALNETWORK2 -j ACCEPT /sbin/iptables -t nat -A POSTROUTING -o $INTINT -s $LOCALNETWORK2 -j ACCEPT /sbin/iptables -t nat -A PREROUTING -s $LOCALNETWORK2 -j ACCEPT echo LAN traffic allowed usw. Dann sollte die Firewall auch für das $LOCALNETWORK2 funktionieren. Grüsse Tobi PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Re: iptables
hi, da bin ich gerade dabei, spass macht es nicht ;-) cu On Sat, 2003-01-18 at 18:49, Tobias Kaefer wrote: ändern nach: echo Seting up firewall. LOCALNETWORK=192.168.1.0/255.255.255.0 LOCALNETWORK2=53.101.48.0/255.255.255.0 -- Denny Schierz [EMAIL PROTECTED] signature.asc Description: This is a digitally signed message part
Re: [PUG] Re: iptables
At 19:01 18.01.2003 +0100, you wrote: hi, da bin ich gerade dabei, spass macht es nicht ;-) cu Könntest Dir ja ein AWK-Script schreiben, dass das für Dich erledigt! ;-) Gruss Tobi PUG - Penguin User Group Wiesbaden - http://www.pug.org
[PUG] Re: iptables
Denny Schierz [EMAIL PROTECTED] writes: Regeln verwenden, die auf eth0 beide Netze erlauben, und dann nur noch auf das Device gehen? du meinst also, das -s $LOCALNETWORK einfach herrausnehmen? sodass nur noch eth0 als Filterquelle angesehen wird. Verstehe ich das richtig? Ja. Dann prüfst Du aber erstmal nicht mehr auf IP-Spoofing. Das kannst Du aber in einer neuen Regel tun und bist das Problem los. Jochen -- #include ~/.signature: permission denied PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Re: iptables Logfile
* Jochen Hein wrote/schrieb: ^^^TABs! syslog.conf(5): Every rule consists of two fields, a selector field and an action field. These two fields are separated by one or more spaces or tabs. Also, Whitespace allgemein. Nicht, daß einer anfängt, seine syslog.conf nach Leerzeichen zu durchforsten, falls mal was nicht funktioniert. ;-) -martin -- "Dumm klickt gut!" --- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Re: iptables in Kernel 2.4
a) weil ich ein alleinstehendes script wollte b) weil ich es mindestens im ip-up erstmal wegschreiben mu, wie Du schon geschrieben hast c) weil ich dumm bin :-) Martin Kellner Jochen Hein schrieb: "Martin" == Martin H Kellner [EMAIL PROTECTED] writes: Martin so hnlich sieht das hier auch aus. Ich hole mir noch die Martin dynamishe ip ber: Martin EXT_IP=`ifconfig ippp0 | grep inet | cut -d: -f2 | cut -d\ Martin -f1` Warum nicht im ip-up Skript? Da bekommst Du die Adresse vom pppd als Parameter garantiert und passend geliefert. Dort knnte man die Daten auch unter /var/state oder sonstwo ablegen. Jochen -- Nicht weil die Dinge schwierig sind, wagen wir sie nicht, sondern weil wir sie nicht wagen, sind sie schwierig. --- PUG - Penguin User Group Wiesbaden - http://www.pug.org --- PUG - Penguin User Group Wiesbaden - http://www.pug.org
RE: [PUG] Re: iptables in Kernel 2.4
Hi! a) weil ich ein alleinstehendes script wollte b) weil ich es mindestens im ip-up erstmal wegschreiben mu, wie Du schon geschrieben hast c) weil ich dumm bin :-) Nicht vergessen: There's more than one way to do it. -martin --- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Re: iptables in Kernel 2.4
klar, schon richtig. Doch ich hab erst mit 2.0.? angefangen :-) ...geouteter Martin Kellner "Schmitt, Martin" schrieb: Hi! a) weil ich ein alleinstehendes script wollte b) weil ich es mindestens im ip-up erstmal wegschreiben mu, wie Du schon geschrieben hast c) weil ich dumm bin :-) Nicht vergessen: There's more than one way to do it. -martin --- PUG - Penguin User Group Wiesbaden - http://www.pug.org --- PUG - Penguin User Group Wiesbaden - http://www.pug.org