[Vorschau] Firewalls auf einem PC mit umstecken von IF's

[feldmaus]

Hallo Leute,

so jetzt habe ich es mal wieder mal geschafft.
(Meine Zeit mit nicht wichtigen Sachen zu vergeuden)
Ich wollte hier meine Firewall Skripte vorstellen.
Eigenschaften:
+Es können mehrere Interfaces parallel aktiv sein, also z.b.
ppp0, wlan, und eth0 ...
+Jedes Interface bekommt eine eigene Firewall
+Aktivieren/Deaktivieren der einzelnen Firewalls
wirkt nicht auf die anderen iptables ein.
+Man kann seine Netzwerkkabel also on the Fly
umstellen ohne das die Firewall rum murkst, weil
ma z.b. jetzt über wlan ins Internet geht statt über seinen
Router.
+Zur Zeit ist kein Bridging vorgesehen, also nur für Clients.

Bugs will ich mal nicht ausschließen.

Da ich kein Wlan habe, habe ich das ganze nur mit meinem
Server und meinem DSL Modem realisiert.
UPDATE 2009-03-20_01
Hier nun die Skripte:
"/root/bin/firewalldsl"
http://nopaste.debianforum.de/20044

"/root/bin/firewalllan"
http://nopaste.debianforum.de/20045

"/etc/network/if-up.d/startfirewall" --> "/root/bin/startfirewall"
"/etc/ppp/ip-up.d/startfirewall" --> "/root/bin/startfirewall"
http://nopaste.debianforum.de/20042

"/etc/network/if-post-down.d/stopfirewall" --> "/root/bin/stopfirewall"
"/etc/ppp/ip-down.d/stopfirewall" --> "/root/bin/stopfirewall"
http://nopaste.debianforum.de/20043



Wie man jetzt seine Interfaces startet müßte egal sein,
diese Skripte müssten trotzdem zum wirken kommen.

Wenn Jemand Verbesserungsvorschläge hat, dann bitte sagen.
Mit dem Spoofing war ich noch nicht ganz fertig.

Grüße markus

[feldmaus]

Meine Iptables zeigt mir an, dass obwohl ich über <dsl-in> und <dsl-out> ins Internet gehe,
trotzdem noch einen Datentransfer üner <lan-in> und <lan-out> habe.

Meine iptable sieht zur Zeit so aus:
http://nopaste.debianforum.de/19638

Meine Routeing Tabelle sieht so aus,

Code: Alles auswählen

Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
92.76.224.1     0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
169.254.0.0     0.0.0.0         255.255.0.0     U     0      0        0 eth0
0.0.0.0         0.0.0.0         0.0.0.0         U     0      0        0 ppp0

Muss ich mir sorgen machen, dass Packete ungefiltert über <lan-in>
und <lan-out> gehen können ?
Wenn dem so ist wie kann ich das verhindern ?

Laut https://www.grc.com scheinen mein Ports aber alle
dicht zu sein.

Grüße Markus

[feldmaus]

So ich habe noch mal getestet und festgestellt, das mein System beim
ständigen rein und rauß stöbseln irgendwann Probleme bekommt,

Code: Alles auswählen

no IPv6 Router present

Recht gebe ich Ihm, es gibt keinen IPv6 Router in meinem Netzwerk.

Die Frage ist nur warum versucht er irgendwann IPv6 zu nutzen und schaltet
nicht mehr auf IPv4 um ?
BUG ? Die verdammten Käfer !

Hat Jemand eine Idee wie man das lösen kann, ich würde das
IPv6 ja noch gerne im Kernel behalten.

[feldmaus]

BUGS:

• Bei meinem <eth0> Interface stand ab und zu <NOARP>. Dies darf nichts sein.
  Ich bin mir allerdings nicht sicher woher er das hatte ?
  Ich habe mal die Option < -arp 0 > bei ppp in der
  </etc/network/interfaces> weggenommen.
• Irgendwie werden einige meiner Haupt Rules nicht gelöscht.
  Diese Rules wurde mit <-I pos> eingefügt.(Nicht mehr vorgekommen)
• Das letzte Interface steht in der iptable weiter
  oben und wird bevorzugt behandelt. Abhilfe würde das weitere
  integrieren der Routingtabelle in die iptable bringen.

[feldmaus]

Wäre mal nett, wenn das einer mit nem Laptop testen könnte ?
Ich würde die Skripte auch noch flexibler machen, damit sie
nicht nur auf meinem System funktionieren.

Grüße Markus