transzparens csomagszűrő bridge

 ( _Petya_ | 2007. február 3., szombat - 9:24 )

Üdv!

Szeretném az itt: http://www.debian.org/doc/manuals/securing-debian-howto/ap-bridge-fw.en.html D2. pont alatt látható csomagszűrű tűzfalat megvalósítani. Az egyedüli problémám vele az, hogy:

"If you want access to the bridge with ssh, you must have a gateway or you must first connect to another server, such as the "Mail Server", and then connect to the bridge through the internal network card."

Megoldható az, hogy kintről, tehát a router felől is, vagy akár csak onnan lehessen ssh-n elérni ezt a bridge-et?

szerk: ja, és ezt 2.6-os kernellel szeretném elkövetni, nem 2.4-essel, mint ahogyan a cikk írja

Petya

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Nagyon lehetetlen dolgot kérdeztem? Tud valaki segíteni?

Petya

Adsz az egyik hálókártyának egy IP-t?
--
Gentoo motto: It's worth spending eight hours trying to make something load 20ns faster.

bridgre is lehet felhuzni interfacet :) ipvel
--
A bus station is where a bus stops. A train station is where a train stops. On my desk, I have a work station

Üdv!

Köszönöm a válaszokat.

Tehát akkor a példánál maradva:

/usr/sbin/brctl addbr br0

/usr/sbin/brctl addif br0 eth0
/usr/sbin/brctl addif br0 eth1
     
/sbin/ifconfig eth0 1.2.3.4 netmask 255.255.255.0 broadcast 1.2.3.254
/sbin/ifconfig eth1 0.0.0.0

Ez így működni fog? És így csak az eth0 felől lehet majd elérni ssh-n a gépet, igaz? Vagy az eth1 irányból is?
Megadhatom az eth0 és eth1 adatait az /etc/nework/interfaces-ben is?

Petya

Üdv!

Végül sikerült megoldani, de belefutottam egy problémába:

/etc/network/interfaces:

auto lo
iface lo inet loopback

auto br0
iface br0 inet static
        address 1.2.3.4
        netmask 255.255.255.0
        network 1.2.3.0
        broadcast 1.2.3.255
        gateway 1.2.3.254
        bridge_ports eth0 eth1
        # dns-* options are implemented by the resolvconf package, if installed
        dns-nameservers 1.2.3.254
        dns-search mydomain.company.hu

Nevezetesen abba, hogy ha a bridge úgy indul el, hogy nincsenek bedugva a hálózati kábelek, akkor nem működik. Sőt, ha bedugott kábelekkel elindul, utána kihúzom őket, majd megint be, akkor sem jó. Ez a normális működés, vagy valamit rosszul csináltam?

Petya

Valaki?

Elszámoltál 3o-ig miután bedugtad a kábeleket? Eltart egy ideig, amig átvált "forwarding" módba. Ezen kívül nincs más amiért ne működne. A bro ugyanúgy megy mint egy mezei interfész.

Esetleg nézzed a kernel log-okat, hogy mi történik.

Üdv!

Több perc után sem áll helyre. Amit észrevettem, az az, hogy nem érzékeli az eth1 kihúzását-bedugását. Tehát nem jelenik meg a logokban sem semmi. Az eth0-ra ugyanez jó, ott azonnal beírja a logba és a képernyőre is, ha kihúzom vagy bedugom. Ez mitől lehet?

Petya

Azt próbáltad, hogy kézzel felhúzod az eth1-et (ifconfig eth1 up)? Mien karik?

Üdv!

Az eth0 az egy gagyi realtek 8139, az eth1 pedig egy Intel chipes kártya, az lspci azt mondja rá, hogy Digital Corp, típusra nem emlékszem most fejből, mindjárt megnézem pontosan, de a tulip driverrel megy.

A mii-tool szépen látja a link status-t, ezért nem értem, hogy miért nem áll fel az eth1...

A kézzel felhúzást is mindjárt kipróbálom.

Petya

Szóval, az eth1: Digital Equipment Corporation DECchip 21142/43 (rev 41)

A kézi felhúzással működik:

# ifconfg eth1 up
eth1: Promiscuous mode enabled.

Innentől jó. Mi lehet a hiba?

Petya

Hát mondjuk érdemesebb lenne egyféle kártyával hidazni, de te tudod...
Valószínű, hogy a tulipot nem húzza fel rendesen a deb. De igazából konkrét tippem nincs, annyira nem értek a debian belső müködéséhez

Üdv!

Erősen sufnituning jellegű a projekt :)

Kipróbálom egyforma kártyákkal is, köszönöm a tippet.

Petya

Üdv!

Két Realtek kártyával működik a dolog, szépen feláll a bridge. Most jön az a része, hogy a tűzfalat állítanám be, ehhez kérek segítséget. Olvastam ebtables-ről, de annyira nem értek hozzá, ha lehet inkább iptables-t használnék, és iptables-p2p-t a filecsere tiltására. Le szeretném tiltani a microsoft-os portokat is (137,139).

Ezeket hogyan tudom megcsinálni egy bridge-en? Tudtok segíteni?

Petya

Annyi hintet dobok, hogy _mindig_ egy interface-en filtrálj.
--
'Please, just tell people to use Windows.' - Linus Torvalds on KDE and GNOME

Hello!

Próbálom a tűzfalat beálíltani, csak egy interface-re csinálok szabályokat, de így sem megy. Tudna valaki példát írni rá?

Az ebtables honlapján lévő doksi számomra áttekinthetetlen, iyen broute, meg hasonlók nem kellenek nekem, csak simán szeretnék bizonyos portok kivételével mindent tiltani.

Petya

én először tiltanék mindent, és utánna engedélyezném a szükséges dolgokat

Igen, ezt próbáltam én is, eredmény: a szabályok beállítása után a prompt sem jött vissza, pedig stateful szabály is volt benne. Nyilvn rosszul csinálok valamit, ezért szeretnék segítséget kérni.

Petya

Szia!
A szabályokat postolod?
--
'Please, just tell people to use Windows.' - Linus Torvalds on KDE and GNOME
Registered M$funboy #006