Hallo liebe Linux-Gemeinde, Ich möchte hier ganz klassisch zwei Netze mittels Network Adress Translation zusammenkriegen und habe ein paar Fragen dazu. Jede aus bzw. eingehende IP soll statisch von einer offiziellen zu einer privaten bzw. umgekehrt umadressiert werden. Erst einmal, welchen Kernel muß ich mir zusammenschrauben, damit das auch läuft. Geht ein Standardkernel? Ich glaube kaum, oder? Bisher habe ich zwar diverse HowTo's gefunden, allerdings wurde über Kernelparameter kein Wort verlohren. Einen Masquerading-Kernel habe ich mir schon einmal zusammenkompiliert, kann ich den benutzen? Zweitens: Auf dem gleichen Rechner soll eine Firewall laufen. Also reinkommende IP -> Firewall -> NAT -> Weiterschieben der IP ins LAN (und natürlich umgekehrt). Ist das schon sicherheitskritisch? Und wie stell ich das an? Muß ich da irgendein (virtuelles?) Device erstellen, wo die Firewall ihre durchgelassenen Pakete hingibt und von der sich dann das NAT die Pakete zum Umadressieren holt, oder läuft das im Kernel automatisch ab? Drittens: Ich hatte vor, iptables zu verwenden. Ist das gut? Gibt's was besseres? Andere Ansätze? Vielen Dank im Voraus schon einmal, Ein schönes Wochenende Alexander. --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hallo Alexander, On 00/10/27@14:55 Alexander Müller told me in 33lines (1,4K):
Hallo liebe Linux-Gemeinde,
Ich möchte hier ganz klassisch zwei Netze mittels Network Adress Translation zusammenkriegen und habe ein paar Fragen dazu. Jede aus bzw. eingehende IP soll statisch von einer offiziellen zu einer privaten bzw. umgekehrt umadressiert werden.
Weiß leider zu wenig um zwischen statisch und dynamisch unterscheiden zu können :(.
Erst einmal, welchen Kernel muß ich mir zusammenschrauben, damit das auch läuft. Geht ein Standardkernel? Ich glaube kaum, oder? Bisher habe ich zwar diverse HowTo's gefunden, allerdings wurde über Kernelparameter kein Wort verlohren. Einen Masquerading-Kernel habe ich mir schon einmal zusammenkompiliert, kann ich den benutzen?
Auch der Unterschied zwischen Masquerading und NAT ist für mich leider nur theoretischer Natur. Masquerading geht jedoch mit einem Standard Suse-Kernel und AFAIK ist NAT da schon drin.
Zweitens: Auf dem gleichen Rechner soll eine Firewall laufen. Also reinkommende IP -> Firewall -> NAT -> Weiterschieben der IP ins LAN (und natürlich umgekehrt). Ist das schon sicherheitskritisch? Und wie stell ich das an? Muß ich da irgendein (virtuelles?) Device erstellen, wo die Firewall ihre durchgelassenen Pakete hingibt und von der sich dann das NAT die Pakete zum Umadressieren holt, oder läuft das im Kernel automatisch ab?
Für welche Größenordnung willst Du denn was aufsetzten? Also für das BKA, MAD oder für Dich zu Hause? Für Dich zuhause ist das IMHO unkritisch. Am einfachsten geht das AFAIK mit dem Handbuch und yast. Sonst ist evtl http://www.little-idiot.de und das Hacker Buch auf Markt und Technik (URL vergessen:()interessant.
Drittens: Ich hatte vor, iptables zu verwenden. Ist das gut? Gibt's was besseres? Andere Ansätze?
Iptables gibts erst im 2.4 Kernel unter 2.2 gibts ipchains. Es hängt also vom Kernel ab was Du nehmen kannst. Wenn Du Dich für einen Kernel entschieden hast hast Du Žeh keine Wahl mehr. Als in solchen Dingen konservativ veranlagter Mensch würde ich natürlich zu ipchains raten, obwohl, das zu beurteilen, steht eigentlich nicht in meiner Macht :(.
Ein schönes Wochenende
HTH & dito -- (o< -----------CU---------- >o) //\ *Maik Holtkamp* /\\ V_/ #s-y-l@gmx.net# \_V \_________________________/ --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Maik Holtkamp schrieb in 2,5K (63 Zeilen):
On 00/10/27@14:55 Alexander Müller told me in 33lines (1,4K):
Zweitens: Auf dem gleichen Rechner soll eine Firewall laufen. Also reinkommende IP -> Firewall -> NAT -> Weiterschieben der IP ins LAN (und natürlich umgekehrt). Ist das schon sicherheitskritisch?
Nein, IMHO nicht. Nur in dem Rahmen, dass Firewalls so wenig am Laufen haben sollten wie moeglich.
Sonst ist evtl http://www.little-idiot.de und das Hacker Buch auf
Meine Meinung zu www.little-idiot.de habe ich (zuletzt) am 15 September auf der Liste geschrieben: Halbwissen, z.T. sachlich falsch oder durch Auslassungen falsch dargestellt. Juergen Schwart schickte vor ein paar Tagen auf der Liste die folgenden URLs: http://www.ncsh.com/pub/doc/books/oreilly/index.htm http://www.ncsh.com/pub/doc/books/oreilly/oreilly-big-collection-of-books.ta... Da ist auch "Building Internet Firewalls" drauf. Das mag zwar nicht das neueste Buch sein, aber die Ideen sind sicherlich noch gut und wahr.
Iptables gibts erst im 2.4 Kernel unter 2.2 gibts ipchains. Es hängt also vom Kernel ab was Du nehmen kannst. Wenn Du Dich für einen Kernel entschieden hast hast Du Žeh keine Wahl mehr.
2.4.0-textXX ist noch nicht stable. Aber es hat ipchains-emulation (vermutlich einfach eine API zu den iptables). -Wolfgang --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Ich möchte hier ganz klassisch zwei Netze mittels Network Adress Translation zusammenkriegen und habe ein paar Fragen dazu. Jede aus bzw. eingehende IP soll statisch von einer offiziellen zu einer
Hi Alexander,
From: Alexander Müller
umgekehrt umadressiert werden.
MASQ = lokale IP's werden auf EINE oeffentliche IP umgeschrieben. NAT = lokale IP's werden auf mehrere oeffnetliche IP's umgeschrieben.
Erst einmal, welchen Kernel muß ich mir zusammenschrauben, damit das auch läuft. Geht ein Standardkernel? Ich glaube kaum, oder? Bisher habe ich zwar diverse HowTo's gefunden, allerdings wurde über Kernelparameter kein Wort verlohren. Einen Masquerading-Kernel habe ich mir schon einmal zusammenkompiliert, kann ich den benutzen?
Linux macht von Hause aus 'nur' MASQ, was aber auch erstmal ausreichen sollte. Fuer NAT gibt es einen Kernelpatch, da solltest Du mal in den eischlaegigen Mailinglisten mitlesen. Ich denke allerdings das fuer Dich ein MASQ vollkommen ausreicht.
Zweitens: Auf dem gleichen Rechner soll eine Firewall laufen. Also reinkommende IP -> Firewall -> NAT -> Weiterschieben der IP ins LAN (und natürlich umgekehrt). Ist das schon sicherheitskritisch? Und wie stell
Erst mal nicht.
ich das an? Muß ich da irgendein (virtuelles?) Device erstellen, wo die Firewall ihre durchgelassenen Pakete hingibt und von der sich dann das NAT die Pakete zum Umadressieren holt, oder läuft das im Kernel automatisch ab?
Du benoetigts kein virtuelles device.
Drittens: Ich hatte vor, iptables zu verwenden. Ist das gut? Gibt's was besseres? Andere Ansätze?
iptables sind neu, vorher wurden vom Kernel ipchains verwendet. Zu iptables kann ich aber nicht's weiter sagen, ausser das sie eine erweiterte Funktionalitaet haben. Wie gesagt, soweit ich weiss, ist das erst im neuen Kernel drin. by Joreg --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
participants (4)
-
alex-lists@roofhq.de
-
j.zimmermann@xsiteing.de
-
s-y-l@gmx.net
-
weissel@netcologne.de