frage wegen ipfw logik

d4mi4n

volksoperator on duty
hab da eine frage zu ipfw:
also 5 nics sind im router verbaut, an 3en hängen verschiedene schulungsräume, an den 2 anderen einmal internet und einmal intranet

die schulungsräume bekommen mit
Code:
ipfw add allow all from *raum#* to internet
ipfw add allow all from internet to *raum#*
zugriff aufs internet oder aufs intranet wenn da halt die ip vom intranetproxy eingetragen ist
wenn ich jetzt aber von den rechnern auf den apache des routers zugreifen will auf dem ein phpscript die zugänge steuert dann brauch ich ja sowas in der art
Code:
ipfw add allow all from any to me
ipfw add allow all from me to any
dann können die ja die regel oben automatisch umgehen weil ja jeder verkehr zum router und vom router weg erlaubt ist oder?
 
momentan hab ich es so gelöst das der apache auf einem anderen port läuft
ipfw add allow all from any to me port
ipfw add allow all from me to any port
aber das ist keine schöne lösung
 
Die Paket die ins Internet wollen sind nur indirekt an deinen Router adressiert. Du solltest also schon alles zum Router erlauben. Das weiter-routen kannst du ja dann unterbinden.
 
beispiel:

Code:
#!/bin/sh
fwcmd="/sbin/ipfw -q"
internet="192.168.1.1"
intranet="192.168.5.1"
lz1="192.168.2.1"
lz2="192.168.3.1"
lz3="192.168.4.1"
apache="80"

# freigabe f�r apache
${fwcmd} add allow all from any to me ${apache}
${fwcmd} add allow all from me to any ${apache}

# nach dem booten alle verbindungen verbindungen zum internet
${fwcmd} add allow all from ${lz1} to ${internet}
${fwcmd} add allow all from ${internet} to ${lz1}
${fwcmd} add allow all from ${lz2} to ${internet}
${fwcmd} add allow all from ${internet} to ${lz2}
${fwcmd} add allow all from ${lz3} to ${internet}
${fwcmd} add allow all from ${internet} to ${lz3}

# alle netze d�rfen untereinander komunizieren
${fwcmd} add allow all from ${lz1} to ${lz2}
${fwcmd} add allow all from ${lz2} to ${lz1}
${fwcmd} add allow all from ${lz2} to ${lz3}
${fwcmd} add allow all from ${lz3} to ${lz2}
${fwcmd} add allow all from ${lz3} to ${lz1}
${fwcmd} add allow all from ${lz1} to ${lz3}
es besteht immer! eine verbindung von jeem lernzentrum entweder zum intranet oder zum internet, das sind auch die einzigen regeln die über meine weboberfläche mittels php verändert werden können, die lernzentren untereinander dürfen immer miteinander rumwurschteln
jetzt versteh ich nicht was du mit indirekt meinst, wenn da jetzt wegen dem apache rein und raus erlaubt ist auf jede karte, dann is das ganze script jaa fürn arsch weil er das doch dann weitergibt
 
Du musst halt abschliessend noch ein deny from any to any einbauen. Dann geht alles untereinander, und alle kommen auf den Apache. Mehr geht dann aber erstmal nicht.

Paket "ins Internet" sind schliesslich nicht an deinen Router adressiert, sondern ans "Internet", die werden nur mit der MAC Adresse des Routers an's passende Interface geschickt. Er sieht dann, dass es nicht fuer ihn ist, und schickt es weiter. Oder eben auch nicht, weil du zB IP Forwarding abgeschalten hast, oder eben Verbindungen nach "any" blockierst.

Bitte nochmal mit IP Routing auseinandersetzen :)
 
yo danke das is mir nachdem ich meinen text geschrieben hab auch eingefallen das wenn es an den router geht nicht ins inet weiterwandert, gibt ja nur eine zieladresse und nicht 2
 
ich peils nichtmehr, ohne das script geht die verbindung von 192.168.2.2 nach 192.168.1.2 wunderbar, wenn jedoch ipfw an ist geht gar nichts...

#!/bin/sh
fwcmd="/sbin/ipfw -q"
internet=""
intranet=""
lz1=""
lz2=""
lz3=""
dienste=""

${fwcmd} -f flush


# freigabe für apache
${fwcmd} add allow log all from any to me ${dienste} #21,22,80
${fwcmd} add allow log all from me ${dienste} to any #21,22,80 to any
${fwcmd} add allow log icmp from any to me

${fwcmd} add allow log icmp from me to any


# verbindungen zum internet
${fwcmd} add allow log all from ${lz1} to ${internet}
${fwcmd} add allow log all from ${internet} to ${lz1}
${fwcmd} add allow log all from ${lz2} to ${internet}
${fwcmd} add allow log all from ${internet} to ${lz2}
${fwcmd} add allow log all from ${lz3} to ${internet}
${fwcmd} add allow log all from ${internet} to ${lz3}

# alle netze drfen untereinander komunizieren
${fwcmd} add allow log all from ${lz1} to ${lz2}
${fwcmd} add allow log all from ${lz2} to ${lz1}
${fwcmd} add allow log all from ${lz2} to ${lz3}
${fwcmd} add allow log all from ${lz3} to ${lz2}
${fwcmd} add allow log all from ${lz3} to ${lz1}
${fwcmd} add allow log all from ${lz1} to ${lz3}

hab mal versuch tmit log das alles mitzulogen, es werden aber nur änderungen der regeln gelogt die ich durch die weboberfläche ändere
 
wenn du danach ein
deny ip log logamoutn 0 from any to any
machst, siehst du normalerweise im security log warum die packets gedropped werden.

k33n
 
naja ich hab einen reboot gemacht und schon logt er, obwohl ich syslog abgeschossen und neu gestartet hab

also es geht jetzt , ich depp hab immer den verkehr der nics im router untereinander erlaubt, das geht nicht, muss die quelle, also das ganze netz das an den nics hängt angeben, dann gehts so wie ich will, aber kann man das nicht auch so machen wie ich erst gedacht hab, einfach den verkehr der nics stoppen? geht dann nur mit via oder?
 
Zurück
Oben