On Wed, 14 Aug 2002 21:19:37 +0200 J�rg Sch�tter <[EMAIL PROTECTED]> wrote:
> Hallo Christian, > > baue Dir doch eine eigene Firewall, ohne dieses Script. > Schau Dir mal meine Firewallkonfiguration an. > http://mypenguin.bei.t-online.de/security/firewall.html > > > On Wed, 14 Aug 2002 20:53:30 +0200 > Christian Schubert <[EMAIL PROTECTED]> wrote: > > > On Wed, 14 Aug 2002 20:10:13 +0200 > > J�rg Sch�tter <[EMAIL PROTECTED]> wrote: > > > > > Hallo Christian, > > > > > > versuch mal die Zeile > > > echo "0" > /proc/sys/net/ipv4/ip_forward > > > auszukommentieren. Ansonsten verhinderst Du da� das Gateway > > > als Gateway agieren kann. > > > > > > On Wed, 14 Aug 2002 13:33:28 +0200 > > > Christian Schubert <[EMAIL PROTECTED]> wrote: > > > > > > > Hi all, > > > > > > > > bin gerade dabei ein Gateway mit Woody aufzusetzen und bleibe an > > > > folgendem Problem h�ngen: > > > > > [...] > > > > > > > > Das IPTABLES-Skript welches in /etc/ppp/ip-down.d/fw liegt, > > > > sieht so aus: > > > > > > > > $IPTABLES -F > > > > $IPTABLES -X > > > > $IPTABLES -F -t nat > > > > $IPTABLES -F -t mangle > > > > $IPTABLES -t nat -X > > > > $IPTABLES -t mangle -X > > > > > > > > $IPTABLES -P INPUT ACCEPT > > > > $IPTABLES -P FORWARD ACCEPT > > > > $IPTABLES -P OUTPUT ACCEPT > > > > > > > > $IPTABLES -t nat -P PREROUTING ACCEPT > > > > $IPTABLES -t nat -P POSTROUTING ACCEPT > > > > > > > > echo "0" > /proc/sys/net/ipv4/ip_forward > > > > > > > > Das Problem sieht sehr nach Paketfilter aus. [...] > > > > > > > Hi Joerg, > > > > danke f�r Deinen Hinweis. Ein kleiner Test mit der 1 hat bisher ein > > zufriedenstellendes Ergebnis gebracht. Aber kannst Du ein Gateway > > mit dem obigen Restore-Skript vorstellen, welches auch noch gut > > l�uft? Wenn ja, wo ist dann zu drehen, damit das Teil das tut was es > > soll? Von Sicherheit ist in diesem Zustand ja nicht mehr viel > > �briggeblieben. > > > > Gru� Christian > > > > Gru� > J�rg > > -- > http://www.lug-untermain.de/ - > http://mypenguin.bei.t-online.de/ > > Dipl.-Ing. J�rg Sch�tter > [EMAIL PROTECTED] Das oben genannte IPTABLES-Skipt ist der DOWN-Teil eines Firewall-Skriptes. Ich bin also gerade dabei mir eine FW-Skript zu stricken. Dein IPTABLES-Beispiel umgeht den Punkt der externen IP-Adresse und des up/down wenn das Netzwerk-device (de)aktiviert wird. Ich habe bei mir unterschiedliche Regeln in /etc/ppp/ip-up.d und in /etc/ppp/ip-down.d. D.h., es werden entsprechende Regln eingelesen, wenn sich der Status des devices ge�ndert hat. Was geschieht bei Deinem Skript, wenn sich die externe IP ge�ndert hat bzw. das device 'weg' ist und ein interner User externen Kontakt ben�tigt? In dem STOP-Teil Deines Skriptes wird 'unset forwarding' auch mit der 0 aufgerufen. Wie wird dann Deine FW wieder gestartet, wenn Du DoD verwendest. Gru� Christian -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
