Shorewall firewall + dinamikus interface

Security-all

Shorewall firewall + dinamikus interface

  • 1285 megtekintés

( Dr_Mac | 2005. 08. 16., k – 22:12 )

Köszönöm az ötleteket, sikerrel jártam.
A problémát az okozta, hogy a Squid beállításaiban csak az eth1 (belső háló) interface volt megadva. Miután megadtam neki a géphez kötött modem IP címét is, már ment is a dolog.

Köszönöm mégegyszer, tanulságos volt. :)

( Dr_Mac | 2005. 08. 13., szo – 18:46 )

Adott egy Debian tűzfal + proxy gép az alábbi konfigurációban:
eth0: ADSL kapcsolat
eth1: belső hálózat

Beállítottam a Shorewallt, így a belső hálóról minden www kérés a proxyn keresztül megy ki, a többi egyenesen, maszkolással. Ez így szépen működik is.

A probléma

A géphez csatlakozik egy modem. Ennek az lenne a feladata, hogy egy másik helyről betárcsázva ezen a gépen keresztül lehessen kimenni a netre. Ami eddig működik:
- betárcsázás után felveszi a vonalat
- megtörténik az azonosítás a /etc/passwd állomány alapján
- létrejön egy ppp1 interface és egy hozzá tartozó bejegyzés az útvonaltáblában, mely a default gw-re mutat
- pinggel elérem a belső háló gépeit, a külső hálózatot, működik a névfeloldás, traceroute-tal elérem bármelyik netes szervert

De ha egy böngészőbe beírom a címet (pl www.hup.hu), akkor a kérések elmennek, de nem jön vissza semmi és a böngésző dob egy hibát, hogy a cél nem érhető el.
Gondolom, hogy valami routolási probléma lehet, de teljesen elakadtam. Mivel a ppp1 interface nincs folyamatosan jelen, ezért nem tudok rá statikusan iptables szabályt felállítani, mert hibát jelez (no route to ppp1).

Valami ötlet?

( Rusty | 2005. 08. 13., szo – 21:07 )

Szia!

Ha routolási probléma lenne, akkor nem kéne, hogy tudj pingelni a külső hálózat felé. Inkább névfeloldási problémának tűnik, nem?

Próbáld meg, hogy beírod a böngészőbe: http://195.228.252.138/. A HUP-nak kell bejönnie. :)

( Dr_Mac | 2005. 08. 13., szo – 21:15 )

Félreértettél. Ha betárcsázok, tudok pingelni IP cím alapján és név alapján is. Viszont ha beírom a böngészőbe a nevet, akkor nem jön vissza semmi. Látom, hogy megtörténik a névfeloldás (alul írja, hogy ... hely keresése, majd csatlakozás a ... helyhez), aztán adat nulla.

( Rusty | 2005. 08. 13., szo – 21:35 )

Akkor próbáld ki azt, hogy kikapcsolod a proxy-zást (gondolom transparent proxy), és maszkolj a 80-as porton is. Így működik?

( Dr_Mac | 2005. 08. 13., szo – 21:44 )

Majd megpróbálom. Az a gond, hogy a gép el van zárva és csak hétköznap férek hozzá. Meglátjuk.
A nagyobbik gondom az, hogy a ppp1 interface nem állandó, így nem tudok rá szabályt megadni, mert hibajelzést dob az iptables. Van arra valami ötleted, hogyan lehetne ezt az intrface aktiválásával szinkronizálni?

( djsmiley v | 2005. 08. 13., szo – 23:27 )

pl.: vi /etc/network/if-up.d/iptables-scriptem

szerintem.

Udv.

( Dr_Mac | 2005. 08. 14., v – 12:13 )

[quote:5d5ded196f="djsmiley"]pl.: vi /etc/network/if-up.d/iptables-scriptem

szerintem.

Udv.

Igen, már nézegettem ezt a részt is. Csak az a problémám, hogy nem vagyok túl jó a szkriptprogramozásban :oops: De gyanítom, hogy meg kell tanulnom az alapokat :)