router und w98

[gugus]

hallo leute
ich habe woody am laufen und benutze die station auch als router für ne w98 kiste. mit iptables etc. habe ich eine kleine firewall aufgebaut. sehr rudimentär.

nur habe ich noch nichts gefunden das das pollen der w98 kiste ins internet unterbindet und mir nicht ständig die kiste am internet hält.

kann mir jemand sagen wo ich info's finde oder mir sonst nen tip geben ?

ach ja, woody hat standardmässig ein /etc/init.d/iptables file. genügt das für eine firewall?

gruss
gugus

[feltel]

Du solltest unbedingt Port 137 und 138 in der Firewall klemmen. Windows ist da sehr gesprächig und will allen mitteilen, das es da ist. Ein weiterer Punkt, den Du dir anschauen solltest ist, ob die Namensauflösung (IP-Adresse > DNS) das auslöst. Sind die Hosts in /etc/hosts eingetragen?

[gugus]

hi feltel

aha......

da ich nicht so gut in sachen iptables bin kannst du mir auch verraten was ich das in das script iptables eintragen muss?

betreffend dns ist es noch so dass ich die adressen meines providers im w98 eingetragen habe. ich möchte aber wenn es soweit funktioniert mit bind einen cache server einrichten. bind9 cache...

ich denke dass das dann der weg ist um ruhe zu haben. oder ?

gugus

[Bert]

da ich hier auf Arbeit keinen Zugriff auf Linux/Debian hab, kann ich Dir nicht so genau sagen, was da drin ist. Wenn mich nicht alles täuscht war da alles auskommentiert und auch ein paar Kommentare in der Einleitung.

iptables Scripte: gibt es hier im Forum einiges an Beispielen und Links. Einfach mal schauen und bei Problemen etwas genauer sagen was Du machen willst.

Ist Dein Debian nur Router oder machst Du mehr damit? Eigentlich meine ich: läuft da Samba drauf? Wenn nicht, dann würde ich die Ports 137,138,139 schon im input dicht machen, damit gar nicht erst eine Verbindung aufgebaut wir.
Hmm, aus dem Kopf und wahrscheinlich falsch

Code: Alles auswählen

iptables -A input -p tcp --dport 137:139 -j DROP

Wenn Du willst, schau ich aber heut Abend noch mal nach..
Viel Erfolg

[pdreker]

Nee, die Regel ist es nicht... er muss die Ports an der Firewall nach draussen abklemmen, damit die nicht permanent eine Verbindung aufbaut... (Nach drinnen ist natürlich auch nicht verkehrt, aber wegen MASQUERADING nicht soo wild, solange kein Samba auf dem Router läuft...

Code: Alles auswählen

iptables -A FORWARD -p tcp -d 137:139 -o ippp0 -j DROP
iptables -A FORWARD -p udp -d 137:139 -o ippp0 -j DROP

könnte klappen, ist aber nur so eben schnell aus dem Hinterkopf zusammengehackt...

Patrick

[gugus]

hallo Patrick

Ja, und was ist wenn samba läuft ?
Ich habe ja ne w98 kiste dran und mein home auf der debian kiste.

Ich habe da schon die verschiedensten scripts probiert. aber irgendwie
klappt keins richtig. drum möchte ich das bestehende original einfach nur ausbauen.

gruss
gugus

[pdreker]

Ich weiss ja nicht, wie Dein Skript sonst noch so aussieht...

Mit

Code: Alles auswählen

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -i eth0 -j ACCEPT
iptables -A INPUT -i ippp0 -j DROP

Sollte deine Router von draussen nix mehr reinlassen (ausser das, was von drinnen angeleiert wurde). Ist aber auch nur so aus dem Handgelenk, ob das klappt hängt ganz wesentlich von Deinem FW Skript ab.

Die meisten FW Skripte setzen ein gewisses Verständnis für die Funktion des Netzwerks und der Firewall voraus... Irgendwo gab es aber einen iptables Regel generator im Internet. Ich weiss aber die URL nicht... Such 'mal hier im Forum, das war vor ein oder 2 Tagen noch erwähnt worden.

Patrick

[apt-get]

hi ihrs

ja also ich bin die tage über einen interessanten firewall generator gestolpert.

http://www.harry.homelinux.org

ich setze das script selber ein, aber muss sagen das ich eigentlich gerne selber eins schreiben würde. naja zum testen und lernen ist das mit dem generator ne gute sache.

bye apt-get

[pdreker]

Exakt: mit dem generator erstmal ein einfaches Skript erzeugen, und dann mit der Doku (http://www.iptables.org) versuchen, zu verstehen.

Dann kann man das schrittweise ausbauen. Das hat auch den Vorteil, wenn man das erste Mal was kompliziertes machen will, hat man den ganzen einfachen Kram schon verstanden...

Und irgendwann kommt der Zeitpunkt, an dem man etwas komplizierteres machen will....

Patrick

[arteist]

betreffend dns ist es noch so dass ich die adressen meines providers im w98 eingetragen habe. ich möchte aber wenn es soweit funktioniert mit bind einen cache server einrichten. bind9 cache...

windows hat die angewohnheit, ständig nachzuschauen, ob der dns noch da ist.
wenn nicht fängt es zwar nicht an zu schreien, und der funktionsumfang ist auch nicht mehr eingeschränkt als sonst.
aber es bringt den providern geld, und da sie wohl hoffen, dass du msn einsetzt, gelcih m$ =)

so genug dem geschwafele und der haarsträubenden theorien, solange ein externer dns im win-rechner (wieso eigentlich win? sollte das nicht eher loose- oder reboot-rechner heißen ~g~) eingetragen ist, wird dein router nie länger als 10min ausgewählt bleiben!

[gugus]

seid gegrüsst leutz

ich habe den generator bereits probiert. leider hängt sich meine kiste iptables technisch auf.

aber es ist schon klar wenn ich mal weiss wie es funzt brauch ich keinen generator mehr

eine weitere frage drängt sich auf werden die scripts im /etc/ppp aufgerufen wenn ich 'rauswähle' oder boote und dsl gestartet wird?

gruss
gugus

[Bert]

Was meinst Du mit "hängt sich meine kiste iptables technisch auf. " ?
Vielleicht hast Du den Verkehr übder das loopback Device (lo) verboten? Das wäre ziemlich unschön.

Die Scripte /etc/ppp/up und /etc/ppp/down werden beim Herstellen oder Beenden einer Verbindung aufgerufen. Nicht beim boot, und auch nicht beim Starten pppd.

Wen Du per DSL ins Netz gehst (ausschließlich), empfehle ich das Einbinden in /etc/init.d und ein Aufruf beim Wechsel ins Runlevel 2. Allerdings hast Du dann dort keine Möglichkeit dynamisch vergebene IP-Adressen zu verwenden. Ich mach das so und es geht ganz gut. Die Regeln beziehen ich immer auf Interaces.

[gugus]

hi bert

das aufhängen kann ich nicht genau beschreiben, es ist nur so dass ich dann weder iptables flushen noch sonst wie stoppen und wieder starten kann. jedenfall habe ich noch keinen weg gefunden dies auf 'normale art' zu tun.

ja an init.d und rc2 habe ich auch gedacht.

wenn ich zuerst dhcp und dns starte sollte es doch funktionieren oder ? vielleicht war das auch mein ganzes problem vorher......

na ja, zumindest funktioniert es jetzt grundsätzlich.

gruss
gugus