N'Abend! Unter SuSE 6.3 gibt es die Möglichkeit, das Ganze über Firewals zu erledigen... in der /etc/rc.config.d/firewall.rc.config steht auch in den Kommentaren alles nötig für die Verwendung dynamisch vergebener IP-Adressen. Ansonsten nimm eine IP aus dem privaten Bereich z.B. 192.168.0.1 für Dein Interface. Diese wird dann nach erfolgter Einwahl durch die ofizielle "ausgetauscht"...

mit ipchains eine Firewall aufbauen. Und jetzt hab ich ein Problem mit der dynamisch vergebenen Ip meines Providers.

Gruss aus dem Bergischen Land, Uli --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com

[firewall mit ipchains]

Ich hab mit dann erstmal im Listerarchiv schlaugemacht, da war auch einiges zu dem Thema. Das eine war die ganze Firewall erst in ip-up aufzuziehen, dass gefaellt mit aber nicht.

Natuerlich kannst Du die Firewall schon beim Booten starten und erst bei Erhalt der dyn. IP modifizieren. In das ip-up/down Script wuerde ich aber nicht die einzelnen ipchains-Befehle direkt schreiben, sondern eher von dort das eigentliche Firewallscript aufrufen!

Zum einen reicht es wenn ich ipchains -A input -i ippp0 -j ACCEPT ipchains -A output -i ippp0 -j ACCEPT

Du akzeptierst ja alles! Du solltest wenigstens die herinkommenden SYN's verbieten ... (=> -y)

Eigentlich sollte man auch noch die Ports einschraenken.

... und alles was an die privaten Ports herein will. Natuerlich gehts aber auch selektiver.

Das ginge ja dann ueber --sport 80 oder?

Das ist der Quellport, der ist IMHO nicht so wichtig. Wichtiger ist der Zielport an Deiner Maschine: --dport.

Oder braucht man da noch mehr Ports, erstmal nur fuer das HTTP vom squid.

Was =Du= brauchst, kannst nur Du wissen. Restriktiv solltest Du nur bei den privaten Ports sein 0..1023.

Die dyn. IP weiß ich ja jetzt noch nicht, wie trag ich die dann ein, gibt es da eine Variable?

Erst einmal nur eine Regel in die chain einbauen, deren Platz sich nicht aendert. Die kannst Du dann ueberschreiben lassen, sobald Du die dyn. IP kennst.

wie schreib ich das in das ip-up (suse 6.3) rein? Ich hab mal reingeschaut da werden fuer interface Variablen benutzt, die muss ich dann wohl auch benutzen, aber wo genau kommen die ipchains -A, wo die ipchains -D Befehle hin? Das ip-down ist ja ein Link auf ip-up. Ich bin leider ueberfragt.

Mach' Dir ein Firewall-Script, das die Parameter "start", "stop", "ppp-up" und "ppp-down" versteht, wobei mit "ppp-up" noch ein zweites Argument erwartet wird, naemlich die dyn. IP-Adresse. Beim Booten: firewall.sh start Beim Herunterfahren: firewall.sh stop in ip-up.local: firewall.sh ppp-up $4 in ip-down.local: firewall.sh ppp-down Statt direkt in ip-up/down herumzumalen solltest Du Dir zwei Scripts ip-up.local und ip-down.local anlegen, die werden dann automatisch aufgerufen. Dort sind Deine Modifikationen sicher und werden nicht bei jedem SuSE-Update ueberschrieben. [...]

entschuldigung wenn ich da noch mal nachfrag, aber aendert ipchains die Addresse auch in einem schon gesetzten Chain? aus ipchains -A input -s 192.168.0.99 -j ACCEPT wird nach einwahl ipchains -A input -s 129.134.54.4 -J ACCEPT ? Das kann ich gar nicht glauben

Mit -A wird nur eine ipchains-Regel =angehaengt=. Damit wird nichts geaendert. Du kannst aber mit -R eine ipchains-Regel mit bekanntem Index ueberschreiben. Also genau das, was Du suchst. Wenn Du noch mehr wissen willst, kann ich Dir auch mein Script auszugsweise zuschicken. m. -- $ find|sed -e 's,[^/]*/\([^/]*\)$,`--\1,' -e 's,[^/]*/,| ,g' --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com