fwbuilder(iptables) und DSL

#0
10.08.2004, 10:00
...neu hier

Beiträge: 5
#1 Hallo,

bin Linux-Firewall-Neuling, also nicht gleich hauen.
Ich möchte unser Intranet m.H. eines Linux-Rechners ans Internet anbinden (derzeit routet noch ein Windows 2000 Rechner). Im Linux-Rechner ist eth0 im mit dem Intranet verbunden, eth1 mit dem DSL-Modem. Wir nutzen den 1000er Tarif von T-Online.

Mit fwbuilder habe ich einfach ein paar Regeln erstellt und das Ganze compiliert. Das Problem ist, dass ppp0 die IP-Adresse dynamisch zugewiesen bekommt. Im von fwbuilder generierten Skript werden dynamische IP-Adressen zwar abgefragt und für die iptables-Befehle verwendet. Nur nützt mir das nicht viel, weil T-Online IIRC zumindest alle 24h die Verbindung kappt - und beim nächsten automatischen Verbindungsaufbau hat ppp0 dann eine andere IP.

Wie löst man das am elegantesten? Mir fällt bisher nur ein, das Firewall-Skript bei jedem Verbindungsaufbau neu abarbeiten zu lassen.

Meine zweite Frage betrifft den Status der DSL-Verbindung. Da gibt es ja neben "verbunden" und "nicht verbunden" noch den Zustand "lurking". Wenn T-Online meine Verbindung einmal in 24h trennt - ist die Verbindung dann vollständig getrennt oder nur "lurking"?

Gruß und schon mal Dank
Andi
Seitenanfang Seitenende
10.08.2004, 11:23
Member
Avatar Xeper

Beiträge: 5291
#2

Zitat

Wie löst man das am elegantesten?
Eigene Regeln schreiben.

Zitat

Meine zweite Frage betrifft den Status der DSL-Verbindung. Da gibt es ja neben "verbunden" und "nicht verbunden" noch den Zustand "lurking". Wenn T-Online meine Verbindung einmal in 24h trennt - ist die Verbindung dann vollständig getrennt oder nur "lurking"?
Davon habe ich noch nie was gehört. Welche Applikation betrifft das denn?
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
10.08.2004, 11:51
...neu hier

Themenstarter

Beiträge: 5
#3

Zitat

Eigene Regeln schreiben.
Fein. Hast Du es für einen Anfänger wie mich noch eine Idee präziser? Wie bringe ich in den Regeln von iptables unter, dass die IP-Adresse von ppp0 während der Abarbeitung der Regel jedes Mal neu ermittelt wird?

Zitat

Davon habe ich noch nie was gehört. Welche Applikation betrifft das denn?
Laut T-Online wird die DSL-Verbindung 24h nach Verbindungsaufbau vollständig getrennt. Das nächste Problem ist nämlich, dass das "Dial On Demand" nur aus dem Lurking mode heraus funktioniert. Ist die Verbindung hingegen vollständig getrennt, erfolgt die Einwahl nicht automatisch.

Andi
Seitenanfang Seitenende
10.08.2004, 13:08
Member
Avatar Xeper

Beiträge: 5291
#4

Zitat

Fein. Hast Du es für einen Anfänger wie mich noch eine Idee präziser?
Du hattest nach einer "eleganten" Lösung gefragt, dass ist sie.

Zitat

Wie bringe ich in den Regeln von iptables unter, dass die IP-Adresse von ppp0 während der Abarbeitung der Regel jedes Mal neu ermittelt wird?
Wo ist überhaupt der Sinn die IP zu nutzen? Warum nicht einfach das device?

Zitat

Laut T-Online wird die DSL-Verbindung 24h nach Verbindungsaufbau vollständig getrennt.
Dem war ich auch schon bewußt.

Zitat

Das nächste Problem ist nämlich, dass das "Dial On Demand" nur aus dem Lurking mode heraus funktioniert.
Dial-on-Demand benutze ich nicht, dafür gibts ja flatrate.
Es betrifft hier immernoch der Name der Applikation - gibt viele dial-in clients.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
10.08.2004, 15:12
...neu hier

Themenstarter

Beiträge: 5
#5

Zitat

Du hattest nach einer "eleganten" Lösung gefragt, dass ist sie.
Dass sie das ist, hatte ich mir schon gedacht. Interessant wäre für mich zu wissen, wie sie aussieht.

Zitat

Wo ist überhaupt der Sinn die IP zu nutzen? Warum nicht einfach das device?
Weil ich bisher eine Regel hatte, die den Zugriff über ppp0 auf die Firewall selbst verboten hat. Gebe ich als Destination nicht explizit die Firewall an, bin ich natürlich aus dem Schneider. Es hätte mich halt nur interessiert!

Zitat

Dial-on-Demand benutze ich nicht, dafür gibts ja flatrate.
So kann man es natürlich sehen. Mir ist es irgendwie lieber, wenn die Verbindung nur so lange besteht, wie sie wirklich gebraucht wird.

Zitat

Es betrifft hier immernoch der Name der Applikation - gibt viele dial-in clients.
Ich nutze SuSE 9.0 und nach der DSL-Installation mittels YaST habe ich die Verbindung manuell m.H. von cinternet aufgebaut. Im SuSE-Handbuch liest es sich allerdings so, als ob das Verhalten bei Dial-On-Demand unabhängig vom verwendeten Client ist:
"Interessant ist auch die Kombobox ?Verbindung abbrechen nach (Sekunden)?. Hier können Sie einstellen, wie lange die Verbindung nach dem letzten Datentransfer aufrecht erhalten bleibt, bevor sie automatisch abgebaut wird. Werte zwischen 60 und 300 Sekunden sind hier empfehlenswert.
Bei ?Dial-On-Demand? wird die Verbindung nach Verstreichen dieser Wartezeit nicht komplett abgebaut, sondern verbleibt in einem Wartezustand, der einen automatischen Wiederaufbau ermöglicht, sobald Daten übertragen werden müssen. Wird ?Dial-On-Demand? nicht verwendet, erfolgt ein echter Verbindungsabbau, so dass vor einer erneuten Übertragung die Verbindung manuell wiederhergestellt werden muss. Sie können für diesen Fall den automatischen Verbindungsabbau unterbinden, wenn Sie die Wartezeit auf 0 Sekunden setzen."
Zunächst kann ich da keinen Bezug zu einem bestimmten Einwahlclient finden. Zum anderen - welchen Sinn macht Dial-On-Demand überhaupt noch, wenn es eh nur für (bereits aufgebaute) Verbindungen im Wartezustand funktioniert?

Andi
Seitenanfang Seitenende
10.08.2004, 18:08
Member
Avatar Xeper

Beiträge: 5291
#6

Zitat

Weil ich bisher eine Regel hatte, die den Zugriff über ppp0 auf die Firewall selbst verboten hat.
??? - muss ich das verstehen...
Falls du mit "Firewall" die Maschine selbst meinst na dann gehts ja auch mit INPUT Policy DROP.

Zitat

So kann man es natürlich sehen. Mir ist es irgendwie lieber, wenn die Verbindung nur so lange besteht, wie sie wirklich gebraucht wird.
24/7 natürlich.

Zitat

welchen Sinn macht Dial-On-Demand überhaupt noch, wenn es eh nur für (bereits aufgebaute) Verbindungen im Wartezustand funktioniert?
Quark Dial-on-Demand baut sich dann auf wenn bedarf besteht, dass wird an der route und den DNS Servern ermittelt. Da ich es aber nicht nutze kann ich nicht viel dazu sagen außer das es sowieso nur Einstellungssache ist. SuSE hat übrigens ne mail-list.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
10.08.2004, 18:53
...neu hier

Themenstarter

Beiträge: 5
#7

Zitat

??? - muss ich das verstehen...
Ich glaube eher, die Frage ist, ob Du es willst.

Zitat

Falls du mit "Firewall" die Maschine selbst meinst na dann gehts ja auch mit INPUT Policy DROP.
Na bitte, geht doch.

Zitat

24/7 natürlich.
Eben nicht.

Zitat

Quark Dial-on-Demand baut sich dann auf wenn bedarf besteht, dass wird an der route und den DNS Servern ermittelt.
Es baut sich eben nicht auf. Dass das in dem von mir angesprochenen Fall anscheinend auch nicht vorgesehen ist, wird ja aus dem oben zitierten Handbuch-Eintrag deutlich. Es kann ja aber durchaus sein, dass ich etwas übersehen habe.

Zitat

Da ich es aber nicht nutze kann ich nicht viel dazu sagen außer das es sowieso nur Einstellungssache ist. SuSE hat übrigens ne mail-list.
Falls Dich meine Anfrage irgendwie nervt bzw. Du nicht weiterhelfen kannst oder willst, weil Dir z.B. fwbuilder gegen den Strich geht - wieso sparst Du Dir dann nicht einfach jede Reaktion?

Andi
Seitenanfang Seitenende
10.08.2004, 20:32
Member
Avatar Xeper

Beiträge: 5291
#8

Zitat

Es baut sich eben nicht auf. Dass das in dem von mir angesprochenen Fall anscheinend auch nicht vorgesehen ist, wird ja aus dem oben zitierten Handbuch-Eintrag deutlich. Es kann ja aber durchaus sein, dass ich etwas übersehen habe.
Ich bin mir nicht sicher, es ist schon zu lange her das ich Dial-on-Demand benutzt hatte. Zu diesem Zeitpunkt hatte ich auch keine flatrate.

Zitat

Falls Dich meine Anfrage irgendwie nervt bzw. Du nicht weiterhelfen kannst oder willst, weil Dir z.B. fwbuilder gegen den Strich geht - wieso sparst Du Dir dann nicht einfach jede Reaktion?
Tut es nicht, ich beantworte Fragen normalerweise immer so gut wie ich kann.
Fwbuilder geht mir nicht gegen den Strich sondern dir - du bist der jenige der es nutzen muss weil dir halt das nötige Wissen für die besagte elegantere Lösung fehlt. Zu dem letzten Teil spare ich mir den Kommentar.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
10.08.2004, 22:43
Member
Avatar framp

Beiträge: 326
#9 Ich wuerde einfach mal SuSEFirewall2 ausprobieren. Als Einstieg eigentlich recht gut geeignet und durchaus erweiterbar. Leider ist die Konfiguration nicht ganz durch- und einsichtig. Xeper wird zwar wie ueblich wieder dagegen wettern ;). Ich hab zwar nur SuSE 8.2 auf meiner FW aber wenn Du willst schicke mir eine PW mit Deine eMailAdresse und ich schicke Dir meine Konfigdatei als Starthilfe zu.
__________
"Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Benedict Torvalds
Dieser Beitrag wurde am 10.08.2004 um 22:44 Uhr von framp editiert.
Seitenanfang Seitenende
10.08.2004, 23:17
...neu hier

Themenstarter

Beiträge: 5
#10 @Xeper:

Zitat

Fwbuilder geht mir nicht gegen den Strich sondern dir - du bist der jenige der es nutzen muss weil dir halt das nötige Wissen für die besagte elegantere Lösung fehlt. Zu dem letzten Teil spare ich mir den Kommentar.
Wieso sollte fwbuilder unelegant sein, nur weil Du Deine Skripte lieber selbst schreibst? Gerade für Einsteiger wie mich ist es einfacher, anhand des Vergleichs der in fwbuilder definierten Regeln mit dem generierten Skript die Funktionsweise von iptables nachzuvollziehen. Am Ende wird es bei mir sowieso auf ein eigenes (zumindest jedoch nachträglich angepasstes) Skript hinauslaufen.
Ich habe an keiner Stelle behauptet, umfangreiche Kenntnisse bzgl. iptables zu besitzen. Sprüche wie den mit dem gesparten Kommentar kannst Du daher durchaus stecken lassen.

@framp:
SuSEFirewall2 hatte ich testhalber einfach mal ausprobiert. Irgendwie wollte ich dann aber doch lieber mein eigenes Regelwerk von Grund auf stricken. Fwbuilder erschien mir da als Einstieg gut geeignet. Ich schaue mir das SuSE Skript morgen trotzdem nochmal in Ruhe an.

Andi
Dieser Beitrag wurde am 10.08.2004 um 23:27 Uhr von awuestner editiert.
Seitenanfang Seitenende
11.08.2004, 10:57
Member
Avatar Xeper

Beiträge: 5291
#11 @awuestner

Ich hatte niemals bestritten das fwbuilder unter bestimmten Umständen für dich einfacher ist. Aber das ist dann halt der einfache Weg, und der einfache Weg ist nicht unbedingt der eleganteste ;) Am elegantesten wäre es "man iptabels" und www.google.de zu benutzen und sich selbst das Wissen was man benötigt aneignet, sowas fällt unter autodidaktisch. Fwbuilder ist nur eine Hilfestellung - nicht mehr und nicht weniger.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
11.08.2004, 18:54
Member
Avatar framp

Beiträge: 326
#12

Zitat

@framp:
SuSEFirewall2 hatte ich testhalber einfach mal ausprobiert. Irgendwie wollte ich dann aber doch lieber mein eigenes Regelwerk von Grund auf stricken. Fwbuilder erschien mir da als Einstieg gut geeignet. Ich schaue mir das SuSE Skript morgen trotzdem nochmal in Ruhe an.

Andi
Verstehe ich und habe ich auch gemacht. Allerdings kann man damit erstmal sicher online gehen und in Ruhe iptables kennen lernen.
__________
"Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Benedict Torvalds
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: