Verständnisproblem Paketfilter Linux 2.4.x

Maximilian Wilhelm max at rfc2324.org
Thu Jan 31 17:14:03 CET 2008 

Am Thursday, den 24 January hub Hauke Homburg folgendes in die Tasten:

Hi!

> Ich brauche mal eine Erklärung für folgenden Sachverhalt:

> Ich habe vom Provider mehrere IP Adrssen zugewiesen bekommen. 4 Stück an der 
> Zahl. Weiter habe ich einen ASUS Router auf dem nun ein openwrt Image mit 
> Kernel 2.4 läuft. Der Router ist folgendermassen konfiguriert:

> 1 VLan zum Device PPP0 gemappt.
> 1 VLan ist zum Device des internen Lans gemappt.
> 1 VLAn ist zum Device der DMZ gemappt.

> Der Internet Zugriff etc funktioniert. Des internen Lans. Das wird per NAT 
> nach draussen geführt

>  Die Forwadingrule steht per Policy auf DROP.
> Wenn ich nun ein simples Ping von extern auf die interne IP des DMZ Lans 
> mache, also die Gateway IP klappt alles. Ich bekomme Antowort. Wenn ich den 
> eigentlichen Server in der DMZ anpinge bekomme ich keine Antwort.
> Wenn ich vom Server in der DMZ das PPP0 Device anpinge bekomme ich Antwort. 
> Wenn ich eine externe IP Anpinge bekomme ich keine Antwort. Der externe 
> Server war z.b. heise.

> Wenn ich nun aber die FORWARD Policy auf ACCEPT stelle klappt alles mit dem 
> Ping. Ich komme von aussen rein und von innen nach draussen. Wie sicher das 
> ganze ist steht auf nem anderen Blatt.

> Was mich an der Sache wundert ist die tatsache, dass ich bei einem DROP der 
> Forward Policy immernoch das das Device der anderen Seite anpingen kann. 
> Sprich von intern das PPP0 Device welches zwar noch zum Router gehört, 
                                    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Das ist der Punkt.
Da gilt INPUT und nicht FORWARD.

> alllerdings nach meinem Verständnis des Pakerfilters schon auf der unsicheren 
> Internet Seite liegt, da es ja Bestandteil der PPP Verbindung zum Provider 
> ist. Andersrum klappt das auch, sprich ping von extern auf das interne DMZ 
> Device. der Rest im DMZ ist allerdings nicht zu erreichen. Oder habe ich da 
> nen Denkfehler drin?

Jo.
Nebenbei ist DROP als greifende Policy doof, Du willst eher REJECT am
besten mit '--icmp-admin-prohibited' benutzen, damit man weiss,
*warum* etwas nicht geht.

Dazu musst Du natürlich ne Regel ans Ende der FORWARD-Chain packen,
die das macht, die build-in policy kann nur DROP (was an der Stelle
dann auch gesetzt werden sollte).

Schreibst Du das Regelwerk per Hand oder nimmst Du ne Tool dafür?
IMnsHO sollte man wissen, was man macht, wenn man Firewalls aufsetzt.

Ciao
Max
-- 
	Follow the white penguin.

More information about the Linux mailing list