Re: [PUG] Shorewall Konfiguration
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Maximilian schrieb: Patrick Schulz schrieb: Hi Liste, ich bastele gerade ein wenig mit shorewall herum. Allerdings steige ich nicht so ganz durch die Konfiguration. Ich verwende einen Ubuntu Dapper Server. Mal so ne Frage: wozu brauchst du die eigentlich? (Mir fällt da nur eine hitzige Diskussion auf ubuntuusers.de über firewalls und deren Notwendigkeit/Nutzen ein - http://forum.ubuntuusers.de/topic/9494/) deshalb interessiert mich mal deine Meinung dazu... Nun, ich denke, dass eine Firewall mit zum guten Ton gehört. Wenn ich einem Kunden erzähle, dass wir einen Server betreben, der nicht durch eine Firewall geschützt ist, dann wird der sich eventuell Gedanken darüber machen wie sicher seine Daten bei uns sind. Mein Chef alleine wird sich auch schon für ein paar Sicherheits-Intentionen bedanken (auch wenn er selbst keine Ahnung davon hat). Ein anderer Vorteil liegt meiner Meinung nach in der Möglichkeit den Traffic zu loggen. Natürlich bringt eine Firewall auch absolute Nachteile mit sich. Der Konfigurations- und Pflegeaufwand steigt enorm. Meistens liegen die Probleme, wenn mal etwas netzwerktechnisches nicht auf Anhieb funktioniert, auch genau an dieser Stelle. Andererseits läßt sich mit einer Firewall aber auch einiges über Netzwerktechnik lernen, was man ansonsten nur einfach als gegeben hinnehmen würde. Im Übrigen ist das der erste Linux-Server, der bei einem externen Dienstleister steht, den ich mit einer Firewall ausstatte. Ohne lief das auch ganz prima. Es fallen mir eine ganze Reihe Für und Wider ein, unterm Strich ist aber ein wachsames Auge immer gut... - -- Gruß Patrick - -= Verstehe die Technik und Du findest einen Weg sie zu umgehen =- -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.5 (MingW32) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFFGi920tZRehVyVwYRAoGZAKDLiftR1ECP5r/XQUIYq8zy7JoCTACeJ+iP PKvmCSR7XySWKk/NLuRMcsg= =qqH5 -END PGP SIGNATURE- -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Shorewall Konfiguration
Maximilian, noch was... Du scheinst Dich ziemlich gut in der Ubuntu Community auszukennen... Gibt es da so etwa wie Best Practises oder Become a Ubuntu Administrator oder ähnliches? Links? -- Gruß Patrick -= Verstehe die Technik und Du findest einen Weg sie zu umgehen =- -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Shorewall Konfiguration [OT]
Patrick Schulz schrieb: Become a Ubuntu Administrator :-) you made my day. Klingt irgendwie, wie die Frage nach dem wie werde ich Hacker Howto oder ähnlichem. signature.asc Description: OpenPGP digital signature -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Shorewall Konfiguration [OT]
Thorsten Gowik schrieb: Patrick Schulz schrieb: Become a Ubuntu Administrator :-) you made my day. Klingt irgendwie, wie die Frage nach dem wie werde ich Hacker Howto oder ähnlichem. :-) Eigentlich wollte ich wissen wie man Word 97 als Betriebssystem installierem und hochfahren kann ;-) Okay, danke für den Hinweis. Also: Canonical bietet Zertifizierungen für Ubuntu an. Sowohl für Software als auch für User / Admins (wenn ich das richtig verstanden habe). Gibt es die vermittelten Inhalte der User-/Adminzertifizierung auch iregendwo im Web? -- Gruß Patrick -= Verstehe die Technik und Du findest einen Weg sie zu umgehen =- -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Shorewall Konfiguration [OT]
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Become a Ubuntu Administrator Okay, danke für den Hinweis. Also: Canonical bietet Zertifizierungen für Ubuntu an. Sowohl für Software als auch für User / Admins (wenn ich das richtig verstanden habe). Also, was mir dazu noch einfällt ist eine LPI zertifizierung speziell für Ubuntu. guckst du hier: http://www.ubuntuusers.de/ikhaya/279/ gruß maximilian -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.3 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFFGjv4W7geEmgwvocRAr5mAKCiQZ3fg53uRunQcRVYjMpjCKr8jACcCaNd 7QzDm2lXQ9gX3glU7A++UX0= =Ogp+ -END PGP SIGNATURE- -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
[PUG] Shorewall Konfiguration
Hi Liste, ich bastele gerade ein wenig mit shorewall herum. Allerdings steige ich nicht so ganz durch die Konfiguration. Ich verwende einen Ubuntu Dapper Server. Die Shorewall Version ist 3.0.4. Nach der Installation liegt unter /etc/shorewall nur die shorewall.conf - den minimalen Rest der configs für eine brauchbare Installation (interfaces, policies, rules und zones) habe ich mir aus /usr/share/doc/shorewall/default-config kopiert. Shorewall / Iptables wird verwendet um einen einzigen Rechner (nämlich den auf dem Shorewall installiert ist) zu schützen. Der Rechner wird nicht als Router verwendet! So wie sieht nun eine einfache Konfiguration dafür aus, die mir einfach nur ein paar Ports für SSH, HTTP usw. zur Verfügung stellt? Kann mir da jemand einen Tip geben? Momentan scheitere ich an der Tatsache, dass es keine Verbindung von der Zone net zu fw gibt... -- Gruß Patrick -= Verstehe die Technik und Du findest einen Weg sie zu umgehen =- -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Shorewall Konfiguration
Da muß ich mir mal fullquotemässig selbst antworten. Ein Blick in die Beispiele in /usr/share/doc/shorewall/examples bringt echt viel Mir war dieses Macron Konzept nicht so ganz schlüssig, aber unterm Strich ist das echt toll... Patrick Schulz schrieb: Hi Liste, ich bastele gerade ein wenig mit shorewall herum. Allerdings steige ich nicht so ganz durch die Konfiguration. Ich verwende einen Ubuntu Dapper Server. Die Shorewall Version ist 3.0.4. Nach der Installation liegt unter /etc/shorewall nur die shorewall.conf - den minimalen Rest der configs für eine brauchbare Installation (interfaces, policies, rules und zones) habe ich mir aus /usr/share/doc/shorewall/default-config kopiert. Shorewall / Iptables wird verwendet um einen einzigen Rechner (nämlich den auf dem Shorewall installiert ist) zu schützen. Der Rechner wird nicht als Router verwendet! So wie sieht nun eine einfache Konfiguration dafür aus, die mir einfach nur ein paar Ports für SSH, HTTP usw. zur Verfügung stellt? Kann mir da jemand einen Tip geben? Momentan scheitere ich an der Tatsache, dass es keine Verbindung von der Zone net zu fw gibt... -- Gruß Patrick -= Verstehe die Technik und Du findest einen Weg sie zu umgehen =- -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Shorewall Konfiguration
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Patrick Schulz schrieb: Hi Liste, ich bastele gerade ein wenig mit shorewall herum. Allerdings steige ich nicht so ganz durch die Konfiguration. Ich verwende einen Ubuntu Dapper Server. Mal so ne Frage: wozu brauchst du die eigentlich? (Mir fällt da nur eine hitzige Diskussion auf ubuntuusers.de über firewalls und deren Notwendigkeit/Nutzen ein - http://forum.ubuntuusers.de/topic/9494/) deshalb interessiert mich mal deine Meinung dazu... gruß maximilian -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.3 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFFGaJBW7geEmgwvocRAkMcAJ9IJ0Xukn/tduquk5OkABdS37yFcQCgjHvY qdjWsCkzBw2/aR9vSQ/FVSY= =e5KX -END PGP SIGNATURE- -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Shorewall Konfiguration wg. Webserver - Routerproblem
ii shorewall 1.4.10-1.1wood Shoreline Firewall (Shorewall) Martin Schmitt schrieb: Patrick Schulz schrieb: Ja, es ist Woody. Allerdings: shorewall version 1.4.10c *jubeljubelfreufreu* Vom Kollegen per Hand draufgefrickelt oder per apt installiert? dpkg -l | grep shorewall gibt was aus? Unter 2.0 sehe ich keinen allzu großen Grund zur Freude. ;-) Die Sache mit den interfaces werde ich mal testen. Bei Dir (in Deiner Konfiguration) erscheinen jedenfalls die richtigen IP Adressen in Apache Logs? Ja. -martin -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Shorewall Konfiguration wg. Webserver - Routerproblem
Ja, wir verfügen über acht Stück oder so. Oder genauer gesagt ein /29 Subnetz. Der Router unseres ISPs belegt eine davon. Unser Router / Firewall eine andere, die noch für einen zweiten Webserver und andere Dienste auf anderen Maschinen verwendet wird, was aber in diesem Kontext nicht interessiert - mich jedenfalls nicht. Die dritte (eben als 12.34.56.78 angegeben), wird ausschließlich für den angesprochenen Webserver verwendet. Patrick Martin Schmitt schrieb: Patrick Schulz schrieb: Was mache ich hier falsch? Das ist eine Config für eine statische IP-Adresse auf dem PPP-Interface. Hast Du eine statische IP-Adresse? -martin -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Shorewall Konfiguration wg. Webserver - Routerproblem
Patrick Schulz schrieb: Ja, wir verfügen über acht Stück oder so. Oder genauer gesagt ein /29 Subnetz. Der Router unseres ISPs belegt eine davon. Unser Router / Firewall eine andere, die noch für einen zweiten Webserver und andere Dienste auf anderen Maschinen verwendet wird, was aber in diesem Kontext nicht interessiert - mich jedenfalls nicht. Die dritte (eben als 12.34.56.78 angegeben), wird ausschließlich für den angesprochenen Webserver verwendet. Meine beiden großen Shorwalls weichen von Deinem Setup leider beide ab. Die eine macht weder SNAT noch DNAT und die andere hat eine dynamische IP-Adresse und macht beides _und_ hat eine dritte Zone in der Konfiguration, aus der die internen Zugriffe kommen. Von daher habe ich an diesem Punkt auch keine Idee mehr. Wenn Du nicht grade die Vorkriegsversion von Debian Woody benutzt, bekommst Du darauf aber auf der Shorewall-Users-Mailingliste mit Sicherheit eine Antwort. -martin -- +-++ | Martin Schmitt | Schmitt Systemberatung | | http://www.scsy.de/~mas | http://www.scsy.de | +-++ signature.asc Description: OpenPGP digital signature -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Shorewall Konfiguration wg. Webserver - Routerproblem
Und so rein philiosophisch betrachtet, wo würdest du da ggf. ansetzen? Zur Info: Ich habe das Ding so von einem Vorgänger übernommen. Daher weiss ich an sich erst einmal relativ wenig über Shorewall an sich und die jetzige Konfiguration bzw. die Beweggründe, die zu derer geführt haben. Allerdings hat das Hinzufügen einer IP (nämlich die des Webservers) vor ein paar Monaten hervorragend funktioniert (nach ca. einem Tag intensivem Wurschteln), außer die Sache mit den transparenten IPs... Vielleicht noch ein paar Anmerkungen zur Konfiguration: Es exisitieren folgende Zonen loc, net, fw. Interpretiert habe ich die Zonen folgender Maßen: loc: Mein Intranet net: alles von ausserhalb im WWW fw: Der herzallerliebste Router als solcher...? Liegt vielleicht hier schon mein Problem? Ausserdem: Ich habe die IP Adresse damals in /etc/network/interfaces eingetragen. Das sieht dort ca. so aus: # The loopback interface auto lo iface lo inet loopback # The first network card - this entry was created during the Debian installation # (network, broadcast and gateway are optional) auto eth0 iface eth0 inet static address 12.34.56.98 netmask 255.255.255.248 broadcast 12.34.56.103 gateway 12.34.56.97 up ip addr add 12.34.56.99/29 brd 12.34.56.103 dev eth0 label eth0:0 #auto eth1 iface eth1 inet static address 192.168.1.150 netmask 255.255.255.0 network 192.168.1.0 broadcast 192.168.1.255 Innerhalb der Shorewall configs habe ich meiner Erinnerung nach nur die rules angepasst, sonst nix. Das interfaces file von shorewall enthält: net eth012.34.56.103 tcpflags,blacklist,norfc1918 loc eth1detect routeback So, mehr weiss ich jetzt auch nicht mehr. Bei Dir scheint das ganze ja ziemlich unproblematisch zu laufen, wenn auch mit dyn. IPs. Könnte es sein, dass dort ein gewisser flag gesetzt wurde, damit das funktioniert? Oder wie hast Du das gelöst, dass Du über Port 80 z.B. eine bestimmte Maschine erreichst. Das ist doch NAT, oder?!? Patrick Martin Schmitt schrieb: Patrick Schulz schrieb: Ja, wir verfügen über acht Stück oder so. Oder genauer gesagt ein /29 Subnetz. Der Router unseres ISPs belegt eine davon. Unser Router / Firewall eine andere, die noch für einen zweiten Webserver und andere Dienste auf anderen Maschinen verwendet wird, was aber in diesem Kontext nicht interessiert - mich jedenfalls nicht. Die dritte (eben als 12.34.56.78 angegeben), wird ausschließlich für den angesprochenen Webserver verwendet. Meine beiden großen Shorwalls weichen von Deinem Setup leider beide ab. Die eine macht weder SNAT noch DNAT und die andere hat eine dynamische IP-Adresse und macht beides _und_ hat eine dritte Zone in der Konfiguration, aus der die internen Zugriffe kommen. Von daher habe ich an diesem Punkt auch keine Idee mehr. Wenn Du nicht grade die Vorkriegsversion von Debian Woody benutzt, bekommst Du darauf aber auf der Shorewall-Users-Mailingliste mit Sicherheit eine Antwort. -martin -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Shorewall Konfiguration wg. Webserver - Routerproblem
Patrick Schulz schrieb: Hallo Liste, ich verwende hier Shorewall als Firewall auf einem Router. Ein Webserver läuft auf einer anderen Maschine. IPs: 12.34.56.78 - Pseudo IP des ISP 192.168.1.153 - Webserver 192.168.1.150 - Router So, nun habe ich den folgende Einträge in der rules config vorgenommen: DNATloc loc:192.168.1.153 tcp www,8080 - 12.34.56.78:192.168.1.150 DNATnet loc:192.168.1.153 tcp www,8080 - 12.34.56.78 Die erste Regel mußte ich verwenden, damit der Webserver auch aus dem Intranet bzw. der lokalen Zone korrekt angesprochen werden kann bzw. man ihn überhaupt erst erreicht. Mein Problem ist nun, dass ich in den Logfiles des Apachen immer nur die IP des Routers sehe, und nicht die IP des Users aus dem Internet. Was mache ich hier falsch? Gruß Patrick Heißt NAT nicht Network Adress Translation? Soweit ich NAT verstanden habe, ist es nicht möglich, dass dein Apachee die IP des Clients mitbekommt. Der Router setzt die IP ja um und ändert die Header. Genau das selbe macht er in die andere Richtung. Das NAT wurde erfunden, damit mehrere Clients mit nur einer IP im Internet unterwegs sein können. In deinem Firmennetzs sind die IPs ja nicht so beschränkt oder? also kannst du Normal routen (und das NAT intern abstellen), dann bekommt dein Apacee auch die IP's der Clients zu gesicht. MfG Bernhard -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Shorewall Konfiguration wg. Webserver - Routerproblem
Bernhard Guillon schrieb: Patrick Schulz schrieb: Hallo Liste, ich verwende hier Shorewall als Firewall auf einem Router. Ein Webserver läuft auf einer anderen Maschine. IPs: 12.34.56.78 - Pseudo IP des ISP 192.168.1.153 - Webserver 192.168.1.150 - Router So, nun habe ich den folgende Einträge in der rules config vorgenommen: DNATloc loc:192.168.1.153 tcp www,8080 - 12.34.56.78:192.168.1.150 DNATnet loc:192.168.1.153 tcp www,8080 - 12.34.56.78 Die erste Regel mußte ich verwenden, damit der Webserver auch aus dem Intranet bzw. der lokalen Zone korrekt angesprochen werden kann bzw. man ihn überhaupt erst erreicht. Mein Problem ist nun, dass ich in den Logfiles des Apachen immer nur die IP des Routers sehe, und nicht die IP des Users aus dem Internet. Was mache ich hier falsch? Gruß Patrick Heißt NAT nicht Network Adress Translation? Soweit ich NAT verstanden habe, ist es nicht möglich, dass dein Apachee die IP des Clients mitbekommt. Der Router setzt die IP ja um und ändert die Header. Genau das selbe macht er in die andere Richtung. Das NAT wurde erfunden, damit mehrere Clients mit nur einer IP im Internet unterwegs sein können. In deinem Firmennetzs sind die IPs ja nicht so beschränkt oder? also kannst du Normal routen (und das NAT intern abstellen), dann bekommt dein Apacee auch die IP's der Clients zu gesicht. MfG Bernhard -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Shorewall Konfiguration wg. Webserver - Routerproblem
Patrick Schulz schrieb: Ich habe das Ding so von einem Vorgänger übernommen. Daher weiss ich an sich erst einmal relativ wenig über Shorewall an sich und die jetzige Konfiguration bzw. die Beweggründe, die zu derer geführt haben. Allerdings hat das Hinzufügen einer IP (nämlich die des Webservers) vor ein paar Monaten hervorragend funktioniert (nach ca. einem Tag intensivem Wurschteln), außer die Sache mit den transparenten IPs... Naja, die Shorewall kann zum Beispiel einsetzen, wer den Betrieb einer Firewall nicht als Aktionskunst sieht, und wer insbesondere schonmal über den Tellerrand von Linux hinausgeschaut und dabei gesehen hat, daß Firewalls überall in der Welt viel viel einfacher und intuitiver funktionieren als dieses unerträgliche ipchains-Gefrickel. Der Shorewall-Entwickler Tom Eastep hat übrigens im vergangenen Frühjahr den Kram hingeschmissen, woraufhin Shorewall in ein echtes Community-Projekt umgebaut wurde und somit noch für ein Weilchen entwickelt werden dürfte. Tom ist danach auch wieder in die Entwicklung eingestiegen. Vielleicht noch ein paar Anmerkungen zur Konfiguration: Es exisitieren folgende Zonen loc, net, fw. Interpretiert habe ich die Zonen folgender Maßen: loc: Mein Intranet net: alles von ausserhalb im WWW fw: Der herzallerliebste Router als solcher...? Liegt vielleicht hier schon mein Problem? Nein. Das stimmt genau. Ich habe die IP Adresse damals in /etc/network/interfaces eingetragen. Das sieht dort ca. so aus: # The loopback interface auto lo iface lo inet loopback # The first network card - this entry was created during the Debian installation # (network, broadcast and gateway are optional) auto eth0 iface eth0 inet static address 12.34.56.98 netmask 255.255.255.248 broadcast 12.34.56.103 gateway 12.34.56.97 up ip addr add 12.34.56.99/29 brd 12.34.56.103 dev eth0 label eth0:0 #auto eth1 iface eth1 inet static address 192.168.1.150 netmask 255.255.255.0 network 192.168.1.0 broadcast 192.168.1.255 Das ist Debian. Wobei man dort auch einfach iface eth0:1 inet static usw. schreiben kann. Die extrem komplizierte Schreibweise hier mit dem Umweg über iproute habe ich noch nie gesehen. Das o.g. Wurschteln hättest Du Dir also sparen können. ;-) Innerhalb der Shorewall configs habe ich meiner Erinnerung nach nur die rules angepasst, sonst nix. Das interfaces file von shorewall enthält: net eth012.34.56.103 tcpflags,blacklist,norfc1918 loc eth1detect routeback Sieht auch plausibel aus. Allerdings bin ich mir nicht sicher, ob Du hier wirklich auf den Eintrag des virtuellen zweiten Interface auf der eth0 verzichten kannst. Da müßtest Du mal die Doku zu Rate ziehen. So, mehr weiss ich jetzt auch nicht mehr. Bei Dir scheint das ganze ja ziemlich unproblematisch zu laufen, wenn auch mit dyn. IPs. Könnte es sein, dass dort ein gewisser flag gesetzt wurde, damit das funktioniert? Oder wie hast Du das gelöst, dass Du über Port 80 z.B. eine bestimmte Maschine erreichst. Das ist doch NAT, oder?!? Eingehend ist DNAT (Destination NAT), ausgehend SNAT (Source NAT), wobei letzeres unter Linux als Masquerading bekannt ist und unter Shorewall in der Datei masq etwas Konfiguration braucht. Mit der dynamischen IP ist es etwas haariger, weil in ppp-up die Firewall neu geladen werden muß. Ansonsten ist es recht harmlos. Ich glaube nicht, daß ich da größere Anpassungen gemacht habe. Welche Shorewall-Version hast Du denn da? Wenn die Maschine unter Debian läuft und ein Erbstück ist, könnte das Woody sein: http://www.shorewall.net/FAQ.htm#faq46 The first release of Shorewall was in March of 2001. Shorewall 1.2.12 was released in May of 2002. It is now the year 2005 and Shorewall 2.2 is available. Shorewall 1.2.12 is poorly documented and is missing many of the features that Shorewall users find essential today and it is silly to continue to run it simply because it is bundled with an ancient Debian release. -martin -- +-++ | Martin Schmitt | Schmitt Systemberatung | | http://www.scsy.de/~mas | http://www.scsy.de | +-++ signature.asc Description: OpenPGP digital signature -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Shorewall Konfiguration wg. Webserver - Routerproblem
Sorry war nicht ganz richtig mit dem NAT. DNAT müsste schon gehn. MfG Bernhard -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Shorewall Konfiguration wg. Webserver - Routerproblem
Ja, es ist Woody. Allerdings: shorewall version 1.4.10c *jubeljubelfreufreu* Die Sache mit den interfaces werde ich mal testen. Bei Dir (in Deiner Konfiguration) erscheinen jedenfalls die richtigen IP Adressen in Apache Logs? Dank und Gruß Patrick Martin Schmitt schrieb: Patrick Schulz schrieb: Ich habe das Ding so von einem Vorgänger übernommen. Daher weiss ich an sich erst einmal relativ wenig über Shorewall an sich und die jetzige Konfiguration bzw. die Beweggründe, die zu derer geführt haben. Allerdings hat das Hinzufügen einer IP (nämlich die des Webservers) vor ein paar Monaten hervorragend funktioniert (nach ca. einem Tag intensivem Wurschteln), außer die Sache mit den transparenten IPs... Naja, die Shorewall kann zum Beispiel einsetzen, wer den Betrieb einer Firewall nicht als Aktionskunst sieht, und wer insbesondere schonmal über den Tellerrand von Linux hinausgeschaut und dabei gesehen hat, daß Firewalls überall in der Welt viel viel einfacher und intuitiver funktionieren als dieses unerträgliche ipchains-Gefrickel. Der Shorewall-Entwickler Tom Eastep hat übrigens im vergangenen Frühjahr den Kram hingeschmissen, woraufhin Shorewall in ein echtes Community-Projekt umgebaut wurde und somit noch für ein Weilchen entwickelt werden dürfte. Tom ist danach auch wieder in die Entwicklung eingestiegen. Vielleicht noch ein paar Anmerkungen zur Konfiguration: Es exisitieren folgende Zonen loc, net, fw. Interpretiert habe ich die Zonen folgender Maßen: loc: Mein Intranet net: alles von ausserhalb im WWW fw: Der herzallerliebste Router als solcher...? Liegt vielleicht hier schon mein Problem? Nein. Das stimmt genau. Ich habe die IP Adresse damals in /etc/network/interfaces eingetragen. Das sieht dort ca. so aus: # The loopback interface auto lo iface lo inet loopback # The first network card - this entry was created during the Debian installation # (network, broadcast and gateway are optional) auto eth0 iface eth0 inet static address 12.34.56.98 netmask 255.255.255.248 broadcast 12.34.56.103 gateway 12.34.56.97 up ip addr add 12.34.56.99/29 brd 12.34.56.103 dev eth0 label eth0:0 #auto eth1 iface eth1 inet static address 192.168.1.150 netmask 255.255.255.0 network 192.168.1.0 broadcast 192.168.1.255 Das ist Debian. Wobei man dort auch einfach iface eth0:1 inet static usw. schreiben kann. Die extrem komplizierte Schreibweise hier mit dem Umweg über iproute habe ich noch nie gesehen. Das o.g. Wurschteln hättest Du Dir also sparen können. ;-) Innerhalb der Shorewall configs habe ich meiner Erinnerung nach nur die rules angepasst, sonst nix. Das interfaces file von shorewall enthält: net eth012.34.56.103 tcpflags,blacklist,norfc1918 loc eth1detect routeback Sieht auch plausibel aus. Allerdings bin ich mir nicht sicher, ob Du hier wirklich auf den Eintrag des virtuellen zweiten Interface auf der eth0 verzichten kannst. Da müßtest Du mal die Doku zu Rate ziehen. So, mehr weiss ich jetzt auch nicht mehr. Bei Dir scheint das ganze ja ziemlich unproblematisch zu laufen, wenn auch mit dyn. IPs. Könnte es sein, dass dort ein gewisser flag gesetzt wurde, damit das funktioniert? Oder wie hast Du das gelöst, dass Du über Port 80 z.B. eine bestimmte Maschine erreichst. Das ist doch NAT, oder?!? Eingehend ist DNAT (Destination NAT), ausgehend SNAT (Source NAT), wobei letzeres unter Linux als Masquerading bekannt ist und unter Shorewall in der Datei masq etwas Konfiguration braucht. Mit der dynamischen IP ist es etwas haariger, weil in ppp-up die Firewall neu geladen werden muß. Ansonsten ist es recht harmlos. Ich glaube nicht, daß ich da größere Anpassungen gemacht habe. Welche Shorewall-Version hast Du denn da? Wenn die Maschine unter Debian läuft und ein Erbstück ist, könnte das Woody sein: http://www.shorewall.net/FAQ.htm#faq46 The first release of Shorewall was in March of 2001. Shorewall 1.2.12 was released in May of 2002. It is now the year 2005 and Shorewall 2.2 is available. Shorewall 1.2.12 is poorly documented and is missing many of the features that Shorewall users find essential today and it is silly to continue to run it simply because it is bundled with an ancient Debian release. -martin -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Shorewall Konfiguration wg. Webserver - Routerproblem
Hi Bernhard, s.u. Bernhard Guillon schrieb: Patrick Schulz schrieb: Hallo Liste, ich verwende hier Shorewall als Firewall auf einem Router. Ein Webserver läuft auf einer anderen Maschine. IPs: 12.34.56.78 - Pseudo IP des ISP 192.168.1.153 - Webserver 192.168.1.150 - Router So, nun habe ich den folgende Einträge in der rules config vorgenommen: DNATloc loc:192.168.1.153 tcp www,8080 - 12.34.56.78:192.168.1.150 DNATnet loc:192.168.1.153 tcp www,8080 - 12.34.56.78 Die erste Regel mußte ich verwenden, damit der Webserver auch aus dem Intranet bzw. der lokalen Zone korrekt angesprochen werden kann bzw. man ihn überhaupt erst erreicht. Mein Problem ist nun, dass ich in den Logfiles des Apachen immer nur die IP des Routers sehe, und nicht die IP des Users aus dem Internet. Was mache ich hier falsch? Gruß Patrick Heißt NAT nicht Network Adress Translation? Soweit ich NAT verstanden habe, ist es nicht möglich, dass dein Apachee die IP des Clients mitbekommt. Der Router setzt die IP ja um und ändert die Header. Genau das selbe macht er in die andere Richtung. Das NAT wurde erfunden, damit mehrere Clients mit nur einer IP im Internet unterwegs sein können. In deinem Firmennetzs sind die IPs ja nicht so beschränkt oder? also kannst du Normal routen (und das NAT intern abstellen), dann bekommt dein Apacee auch die IP's der Clients zu gesicht. Das ist ja toll. Und wie stelle ich das in Shorewall an? Aber ist das was Du meinst nicht das Masquerading? Also wenn ich das alles jetzt richtig verstanden habe ist SNAT ^= Masquerading DNAT ^= Port Forwarding ?!? ...das interpretiere ich jetzt mal so. gruß patrick MfG Bernhard -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Shorewall Konfiguration wg. Webserver - Routerproblem
Patrick Schulz schrieb: Ja, es ist Woody. Allerdings: shorewall version 1.4.10c *jubeljubelfreufreu* Vom Kollegen per Hand draufgefrickelt oder per apt installiert? dpkg -l | grep shorewall gibt was aus? Unter 2.0 sehe ich keinen allzu großen Grund zur Freude. ;-) Die Sache mit den interfaces werde ich mal testen. Bei Dir (in Deiner Konfiguration) erscheinen jedenfalls die richtigen IP Adressen in Apache Logs? Ja. -martin -- +-++ | Martin Schmitt | Schmitt Systemberatung | | http://www.scsy.de/~mas | http://www.scsy.de | +-++ signature.asc Description: OpenPGP digital signature -- PUG - Penguin User Group Wiesbaden - http://www.pug.org