Firewall konfigurieren mi fwbuilder - Verständnisfrage
Hallo Mir raucht der Kopf... Ich möchte eine Firewall mit Iptable und FirewallBuilder (www.fwbuilder.org). Und nun habe ich ein paar grundsätzliche Fragen. Die Firewall hat drei Interfaces: eth0 - Internet eth1 - Lan eth2 - DMZ eth0 geht auf einen Zyxel ADSL-Router, den ich dann mit der Bridge-Funktion umschalte. (Jetzt läuft er als Router, ADSL <-> Lan). Damit ich dann eine Public-Ip auf dem eth0 der Firewall habe. Ok, nun muss ich diese Interface auf dem Firewall Objekt im fwbuilder erstellen. Dabei frage ich mich, ob ich ein ppp0 erstellen muss? Und ob der Firewallrechner pppoE beherrschen muss? Wie sonst bringe ich eine Authentifizierung beim Provider hin? Oder etwas anders formuliert. Erstelle ich nur ein eth0, dann kriege ich doch nie eine Verbindung zur obigen Bride, geschweige denn Link ins Internet? Irgendwie finde ich in der eigentlich ausgezeichneten Doku nichts darüber. Oder ich habs nicht richtig kappiert. Wäre froh um ein paar klärende Worte. Gruss Fabian
Am Dienstag, 16. Juli 2002 22:22 schrieb Fabian Huesser:
Mir raucht der Kopf...
Kalt duschen hilft da manchmal.
Ich möchte eine Firewall mit Iptable und FirewallBuilder (www.fwbuilder.org). Und nun habe ich ein paar grundsätzliche Fragen.
FirewallBuilder kenn ich nicht, aber egal.
Die Firewall hat drei Interfaces:
eth0 - Internet eth1 - Lan eth2 - DMZ
eth0 geht auf einen Zyxel ADSL-Router, den ich dann mit der Bridge-Funktion umschalte. (Jetzt läuft er als Router, ADSL <-> Lan). Damit ich dann eine Public-Ip auf dem eth0 der Firewall habe.
Wieso? Ich würd den ADSL-Router wie bisher betreiben, nur in ein anderes Subnetz legen. Das ganze mit nem gedrehten Netzkabel direkt an eth0 des Firewallrechners ran und gut ist.
Ok, nun muss ich diese Interface auf dem Firewall Objekt im fwbuilder erstellen. Dabei frage ich mich, ob ich ein ppp0 erstellen muss? Und
Nö.
ob der Firewallrechner pppoE beherrschen muss? Wie sonst bringe ich eine Authentifizierung beim Provider hin?
Nö, das brauchst Du nur, wenn Du an ein ADSL-Modem ran gehst. Die arbeiten erledigt ja der Zyxel ADSL-Router, dafür habt ihr den doch bezahlt. Die Authentifizierung würd ich auch wie gehabt lassen.
Oder etwas anders formuliert. Erstelle ich nur ein eth0, dann kriege ich doch nie eine Verbindung zur obigen Bride, geschweige denn Link ins Internet?
Du kriegst ne Verbindung zum ADSL-Router, der sich um die Verbindung ins Internet kümmert. Wie man da sonst mit Linux über das Zyxel-Teil geht wüsste ich wirklich nicht. Bei mir daheim steckt halt der Linux-Rechner im Keller direkt am T-DSL-Modem und ist per pppoE im Netz, da sieht das wieder anders aus, da ist in der Firewall dann eben auch ein ppp0 drin und kein eth0. -- Machs gut | http://www.iiv.de/schwinde/buerger/tremmel/ Manfred | http://www.knightsoft-net.de
Hallo Manfred
Mir raucht der Kopf...
Kalt duschen hilft da manchmal.
Kaffee hat auch schon bisschen geholfen ;-)
Ich möchte eine Firewall mit Iptable und FirewallBuilder (www.fwbuilder.org). Und nun habe ich ein paar grundsätzliche Fragen.
FirewallBuilder kenn ich nicht, aber egal.
Die Firewall hat drei Interfaces:
eth0 - Internet eth1 - Lan eth2 - DMZ
eth0 geht auf einen Zyxel ADSL-Router, den ich dann mit der Bridge-Funktion umschalte. (Jetzt läuft er als Router, ADSL <-> Lan). Damit ich dann eine Public-Ip auf dem eth0 der Firewall habe.
Wieso? Ich würd den ADSL-Router wie bisher betreiben, nur in ein anderes Subnetz legen. Das ganze mit nem gedrehten Netzkabel direkt an eth0 des Firewallrechners ran und gut ist.
SMILE - ich habe sicher schon zig Leute gefragt und jeder sagt darüber was anderes. Ich habe auf dem ADSL Interface eine fixe IP, auf dem Lan-Interface eine private. Gemäss Handbuch von Zyxel und Support vom CH-Importeur sollte dieser Router auf Bridge umgestellt werden, sobald eine Firewall an das Lan-Interface gehängt wird. Aber anscheinend gehen da die Meinungen extrem auseinander.
Ok, nun muss ich diese Interface auf dem Firewall Objekt im fwbuilder erstellen. Dabei frage ich mich, ob ich ein ppp0 erstellen muss? Und
Nö
Das bin ich glaub am verstehen. Vorausgesetzt der Zyxel ist Bridge muss ich auf dem Firewall-OS pppoE einstellen. Und da kann ich ja das ensprechende ethX bestimmen. Im fwbuilder bzw. iptable muss ich dann nur noch dessen ip angeben.
ob der Firewallrechner pppoE beherrschen muss? Wie sonst bringe ich eine Authentifizierung beim Provider hin?
Nö, das brauchst Du nur, wenn Du an ein ADSL-Modem ran gehst. Die arbeiten erledigt ja der Zyxel ADSL-Router, dafür habt ihr den doch bezahlt. Die Authentifizierung würd ich auch wie gehabt lassen.
jep, aber nur, wenn er effektiv als Router (Nat) läuft, als Bridge kann er das eben nicht mehr.
Oder etwas anders formuliert. Erstelle ich nur ein eth0, dann kriege ich doch nie eine Verbindung zur obigen Bride, geschweige denn Link ins Internet?
Du kriegst ne Verbindung zum ADSL-Router, der sich um die Verbindung ins Internet kümmert. Wie man da sonst mit Linux über das Zyxel-Teil geht wüsste ich wirklich nicht. Bei mir daheim steckt halt der Linux- Rechner im Keller direkt am T-DSL-Modem und ist per pppoE im Netz, da sieht das wieder anders aus, da ist in der Firewall dann eben auch ein ppp0 drin und kein eth0.
jep, genau. Das sieht dann bei mir ziemlich gleich aus. (steht auch im Keller). Nein im Ernst, ich "kastriere" den Router zu einer Bridge, ganz grob Ich habe ein paar Hardware-Firewall Handbücher angeschaut (ZyWall, Watchdog etc.), schon fast auf der ersten Seite steht immer. Falls Sie einen ADSL-Router haben, konfigurieren Sie ihn zu einer Bridge um... Du wirst jetzt sagen, warum will der Spinner seinen teuern Router "kastrieren". Naja die Filter auf dem Teil finde ich nicht so toll und iptable bzw. fwbuilder gefallen mir einfach ;-) und ich kann da bisschen mehr spielen. Ausserdem lerne ich ein paar Sachen dabei. Danke für deine Tipps Gruss Fabian
Am Dienstag, 16. Juli 2002 16:36 schrieb Fabian Huesser:
Das bin ich glaub am verstehen. Vorausgesetzt der Zyxel ist Bridge muss ich auf dem Firewall-OS pppoE einstellen. Und da kann ich ja das ensprechende ethX bestimmen. Im fwbuilder bzw. iptable muss ich dann nur noch dessen ip angeben.
Kurze Zwischenfrage, DSL ist ja eigentlich ne Standleitungstechnologie, pppoE wurde doch drübergeflanscht, um Verbindungszeiten, Übertragungsvolumen und dynamische IP unter einen Hut mit DSL zu kriegen. Wenn Du, wie unten beschrieben, ne feste IP hast, kommt da pppoE eigentlich zu Einsatz, oder ist das stinknormales TCP/IP? Bei "normalen, nicht DSL" Standleitungen reichts das Netzwerkkabel reinzustecken, die Netzwerkkarte und Netzwerkverbindung zu konfiguriern und "der Kaas is gessen", nichts mit Athentifizierung oder pppoE.
jep, genau. Das sieht dann bei mir ziemlich gleich aus. (steht auch im Keller). Nein im Ernst, ich "kastriere" den Router zu einer Bridge, ganz grob Ich habe ein paar Hardware-Firewall Handbücher angeschaut (ZyWall, Watchdog etc.), schon fast auf der ersten Seite steht immer. Falls Sie einen ADSL-Router haben, konfigurieren Sie ihn zu einer Bridge um...
Musst Du wissen, mich hat man mit sowas bisher nicht spielen lassen.
Du wirst jetzt sagen, warum will der Spinner seinen teuern Router "kastrieren". Naja die Filter auf dem Teil finde ich nicht so toll und iptable bzw. fwbuilder gefallen mir einfach ;-) und ich kann da bisschen mehr spielen.
Nö, "Spinner" würd ich nicht sagen, hätte da aber ein paar andere Varianten im Angebot ;-)
Ausserdem lerne ich ein paar Sachen dabei.
Wieso auch nicht, mein Firewallscript liegt auf meiner Homepage, vielleicht hilfts ja auch. -- Machs gut | http://www.iiv.de/schwinde/buerger/tremmel/ Manfred | http://www.knightsoft-net.de
* Dienstag, 16. Juli 2002 um 22:22 (+0200) schrieb Fabian Huesser:
Die Firewall hat drei Interfaces:
eth0 - Internet eth1 - Lan eth2 - DMZ
eth0 geht auf einen Zyxel ADSL-Router, den ich dann mit der Bridge-Funktion umschalte. (Jetzt läuft er als Router, ADSL <-> Lan). Damit ich dann eine Public-Ip auf dem eth0 der Firewall habe.
Ok, nun muss ich diese Interface auf dem Firewall Objekt im fwbuilder erstellen. Dabei frage ich mich, ob ich ein ppp0 erstellen muss?
Wenn du so ein Consumer-ADSL wie T-DSL o.ä. nutzt: Ja.
Und ob der Firewallrechner pppoE beherrschen muss?
Wenn du so ein Consumer-ADSL wie T-DSL o.ä. nutzt: Ja.
Oder etwas anders formuliert. Erstelle ich nur ein eth0, dann kriege ich doch nie eine Verbindung zur obigen Bride, geschweige denn Link ins Internet?
Hallo
Wenn du so ein Consumer-ADSL wie T-DSL o.ä. nutzt: Ja.
Und ob der Firewallrechner pppoE beherrschen muss?
Wenn du so ein Consumer-ADSL wie T-DSL o.ä. nutzt: Ja.
Ui, jetzt meldet sich der Meister ;-) dumme Frage, was ist Consumer-ADSL, bzw. ich wusste nicht, dass es da verschiedene ADSL's gibt. Ich kenne T-DSL nicht. Gibts bei uns nicht (CH). Also ich habe da so ein Account, der sich Business nennt. Enthalten sind da 4 IP's. Subnet: xxx.xxx.xxx.xx0 (Freie Verfügung) Router: xxx.xxx.xxx.xx1 (Freie Verfügung) Frei: xxx.xxx.xxx.xx2 (Copy & Paste) Broadcast: xxx.xxx.xxx.xx3 IP-Adresse Gateway Provider: xxx.xx.xxx.xx1 (das muss ich noch rauskriegen, was das genau ist ;-)) Gruss Fabian
Hallo Fabian. * Dienstag, 16. Juli 2002 um 23:42 (+0900) schrieb Fabian Huesser:
Wenn du so ein Consumer-ADSL wie T-DSL o.ä. nutzt: Ja.
Ui, jetzt meldet sich der Meister ;-) dumme Frage, was ist Consumer-ADSL,
Damit meine ich ein x-DSL für das "gemeine" Volk, mit Abrechnung nach Zeit oder Volumen und dynamisch wechselnder IP.
bzw. ich wusste nicht, dass es da verschiedene ADSL's gibt.
Das x-DSL ist dabei nicht das Problem. Die Unterschiede liegen in den darüberliegenden Protokollen, mit denen die Daten übertragen werden... ... und da gibt es viele Möglichkeiten: z.B. ATM, Ethernet, PPP, PPtP, IP und vermulich noch andere. Zu allem Überfluß kann man viele dieser Protokolle auch noch schön ineinander verkapseln, so ist z.B. unser T-DSL "PPP-over-Ethernet-over-ATM-over-ADSL" (alles klar? ,-) ).
Ich kenne T-DSL nicht.
T-DSL ist halt so ein "Volks"-DSL (angeboten von einem rosa Riesen ohne Kopf ;-) )
Also ich habe da so ein Account, der sich Business nennt. Enthalten sind da 4 IP's.
Subnet: xxx.xxx.xxx.xx0 (Freie Verfügung) Router: xxx.xxx.xxx.xx1 (Freie Verfügung) Frei: xxx.xxx.xxx.xx2 (Copy & Paste) Broadcast: xxx.xxx.xxx.xx3
Nein, du hast 2 IPs für Netzwerk-Interfaces, die .xx1 und die .xx2. Die Subnet-IP und die Broadcast-IP kannst du keinem Interface zuweisen. Das sieht aber nicht gerade nach einem "Volks"-DSL mit PPPoE aus... Musst du dich denn beim Provider für die Verbindung mit Benutzernamem und Kennwort authentifizieren? Ich vermute, das du einfach der Netzwerkkarte im Rechner eine der beiden IPs zuweisen kannst und einfach als Standard-Gateway
IP-Adresse Gateway Provider: xxx.xx.xxx.xx1 (das muss ich noch rauskriegen, was das genau ist ;-))
eben diese Adresse angeben must und alles andere macht die Bridge...
Aber genaueres müsste dir dein Provider sagen können.
Gruß
Andreas
--
Andreas Könecke "Andreas Koenecke
Hallo Andreas
Damit meine ich ein x-DSL für das "gemeine" Volk, mit Abrechnung nach Zeit oder Volumen und dynamisch wechselnder IP.
ok, bei mir ist es halt dann mit statischer IP.
Also ich habe da so ein Account, der sich Business nennt. Enthalten sind da 4 IP's.
Subnet: xxx.xxx.xxx.xx0 (Freie Verfügung) Router: xxx.xxx.xxx.xx1 (Freie Verfügung) Frei: xxx.xxx.xxx.xx2 (Copy & Paste) Broadcast: xxx.xxx.xxx.xx3
Nein, du hast 2 IPs für Netzwerk-Interfaces, die .xx1 und die .xx2. Die Subnet-IP und die Broadcast-IP kannst du keinem Interface zuweisen.
das hingegen war mir klar ;-)
Das sieht aber nicht gerade nach einem "Volks"-DSL mit PPPoE aus... Musst du dich denn beim Provider für die Verbindung mit Benutzernamem und Kennwort authentifizieren?
das frage ich mich inzwischen auch. Laut Datenblatt schon, könnte aber auch sein, dass das ohne geht. Das muss ich mal klären.
Ich vermute, das du einfach der Netzwerkkarte im Rechner eine der beiden IPs zuweisen kannst und einfach als Standard-Gateway
IP-Adresse Gateway Provider: xxx.xx.xxx.xx1 (das muss ich noch rauskriegen, was das genau ist ;-))
eben diese Adresse angeben must und alles andere macht die Bridge... Aber genaueres müsste dir dein Provider sagen können.
Vielen Dank für die Tipps. Ich bin mittlerweile auf die selbe Idee gekommen. Habe irgendwann heute Nacht eine Mail mit diesen Fragen an den Support vom Provider geschickt. Jetzt warte ich mal gespannt, was die meinen. Gruss Fabian
participants (3)
-
Andreas Koenecke -
Fabian Huesser -
Manfred Tremmel