DMZ IP Vergabe & IPtables [IPCop]

#1 so hab ne ipcop firewall installiert alles läuft ganz gut bis auf paar sachen die ich noch einstellen möchte aber in ipcop anleitung nichts gefunden habe.

frage1.)

zustand:
hab ein server mit 3nic

eth0(rot,inet) : 195.65.3.234
eth1(orange,DMZ) : ka
eth2(grün,lan) : 192.168.30.1

mein webserver hat die ip 195.65.3.235, der läuft noch nicht in der vorgesehenen dmz.

was muss ich nun eth1 für ne ip geben damit man ihn im inet findet, also wenn ich ihn dann in die dmz stellen will? irgendwe hab ich da nichts gefunden.. oder muss ich sonst was einstellen?

2.)
ich möchte alle ports mal sperren und dann nur die wichtigen öffnen, also vom LAN her betrachtet. bin noch nicht so vertraut mit den iptables, könnt mir sonst auch einen deutschen link geben wo das ein wenig erkärt ist, oder wenn ihr einen guten tag habt den befehl posten für ports sperren und einen einzelnen öffnen und noch für ip's oder hostnames zu sperren.


... und wenn ich schon gerade so am schreiben bin.. gibt es unter linux einen paketfilter bei dem ich das netz überwachen kann und sehe was für porgs da so auf welche ports zugreife?,, alternativ gibts etwas gutes unter win, oder etwas hardware mässiges.

hab schon gelesen dass man kazaa und den esel oder auch andere p2pclients nur begrenzt sperren kann.. aber muss es trotzdem versuchen dass so weit wie möglich zu sperren

so das wärs mal... hab danach gesucht aber nichts schlaues gefunden

#2 Moin

frage1)

vermutlich die ip deines Webservers. Allerdings hab ich von IPcop kein plan.

frage2A)

# man iptables
PS.: Hab zwar heut nen guten Tag aber ich denke mal das du lesen kannst und in der manpage steht alles drin was du wissen musst. Es ist von Vorteil ein wenig Englisch zu können. Allerdings wird die Suchfunktion des Boards auch ne menge zu iptables ausspucken.

frage2B)

Du willst wissen welche Programme welche Verbindungen benutzen?
# man netstat // der Befehl war glaub ich 'netstat -p'

Vielleicht möchtest du auch sowas wie:
http://www.lids.org/ oder http://www.snort.org/

Ich denke damit sind alle Fragen beantwortet.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#3 wegen frage 1.

auf eth1 von der FW läuft nciht der webserver! das ist ein einzelner rechner, eth1 ist im prinzip nur der gateway für den webserver. das hat doch sicher schon jemand gemacht?`! in diesem forum wimmelts ja nur so von ipcop usern..

zu frage 2.

auf ipcop geht man nicht , desshabl warte ich noch auf weitere freundliche user die es mir beantworten

zu frage 3.

vielen dank ich werde es mir anschauen

#4 Was auf IPcop geht 'man' nicht, was fürn scheiß. Hmm ist wohl doch kein OS. Ich rate dir eine vernünftige GNU/Linux Distribution zu installieren, Debian ist einfach.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#5 der befehl "man" ist gemieint

#6 Mahlzeit!

Aber DEBIAN ist nicht jedermans Sache!
Muß man sich da nicht etwas Literatur durchlesen und sehr viel Zeit damit verbringen?

MfG
Cutty

PS: Hab den letzten Post gelöscht! Man muß ja nicht jeden sch... stehen lassen. Oder?

#7 Du kannst der DMZ-NIC eine beliebige private IP (z.B. 192.168.5.1) geben. Dein Webserver bekommt dann auch eine IP aus diesem Bereich (z.B. 192.168.5.2), da er ja in diesem Netz steht.
Als Standard-Gateway für den Webserver gibst Du die 192.168.5.1 ein und schaltest die Ports 80 und 8080 in der Portweiterleitung frei.

Wenn Deine "rote" Nic eine feste öffentlich IP hat, ist damit alles erledigt. Wenn nicht, mußt Du natuerlich einen Dienst wie z.B. DynDns nutzen.

#8 @MrCutty

Dann nimm Gentoo oder NetBSD
Nö ich hab keine Literatur gelesen aber wenn ein OS noch nicht mal die manpages hat dann ist es auch kein GNU/Linux OS. Da steht nämlich alles drin was man wissen muss und wenn jemand irgendwie keine Lust zum lesen hat und auch keine Lust hat ein wenig Zeit zu investieren sind unix Systeme wohl nicht das richtige für den jenigen. Debian ist noch so das leichteste was simpel und trozdem vernünftig ist
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#9 @MrCutty

Die Frage ist eher, nehme ich einen Hardware-Router mit Packetfilter, Einen Software-Router (wie z.B. IPCop, der einen HW-Router abbildet), oder möchte ich mich in ein komplett neues Betriebssystem einarbeiten?

XEPER macht wie immer den Fehler, eine Router-Software (und das ist IPCop) mit einem Betriebssystem zu vergleichen. Ein Router KANN, bzw. SOLL kein BS sein, das ist nicht seine Aufgabe!

Deshalb kennt das, für den Routerbetrieb angepasste Linux von IPCop z.B. auch nicht #man. Dafür gibt es die "Log"-Funktion von IP-Cop.

Nur um ein bischen routen zu können, eine DMZ einzurichten, oder LOG's zu lesen, muß man sich (wenn mann keinen Bock hat) nicht monate-, bzw. jahrelang mit einem BS wie Linux befassen. Aber man kann....