Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

CentOS Linux-Router mit Paketfilter

Frage Linux RedHat, CentOS, Fedora

Mitglied: DevInet

DevInet (Level 1) - Jetzt verbinden

07.09.2009, aktualisiert 18.10.2012, 7546 Aufrufe, 10 Kommentare

Hallo zusammen. Ich bin neu hier und hab da mal ne Frage. Vorab meine Linux-Kenntnisse sind zum Großteil Ubuntu-bezogen mit graphischer Oberläche.

Also, folgendes Problem. Ich soll auf einer "CentOS 5.3 VM" einen Router mit Paketfilter einrichten. Soweit war das auch kein Problem. Hab CentOS in der VM, mit 3 Interfaces, installiert. Die Interfaces konfiguriert. IP-Tables bearbeitet. Nun habe ich dann einfach zum testen 2 Windows-VMs genommen und an zwei Interfaces angebunden. Ping zum Beispiel ist für "forward" freigegeben. Forward ist auch, soweit ich das sagen kann, eingeschaltet. Ich habe um es zu aktivieren in der Datei "/etc/sysctl.conf" "net.ipv4.ip_forward = 0" auf " = 1" gesetzt und dann im Terminal "/sbin/sysctl -p" eingegeben und enter gedrückt. Nun wollte ich das ganze testen, habe mich also auf einer der beiden Windows-Kisten angemeldet und mal nen Ping ausgeführt. Blöd an der Sache ist, dass immer "Zeitüberschreitung der Anforderung" kommt, egal von welcher Windows-VM aus. Von der Linux-VM aus lassen sich aber beide Windows-VMs Pingen. Wo liegt der Fehler? Und bitte nicht mit sachen wie Firestarter oder Shore ankommen. Ich soll das Ding leider komplett im Terminal machen, Vorgabe vom Chef. Wäre super wenn jemand mir helfen kann.

Mfg DevInet
Mitglied: aqui
07.09.2009, aktualisiert 18.10.2012
net.ipv4.ip_forward = 0" auf " = 1 bedeutet nur das der Linux Rechner routet zwischen den Interfaces...nicht mehr !!
Siehe hier im Tutorial beschrieben:
http://www.administrator.de/wissen/routing-mit-2-netzwerkkarten-unter-w ...

Filterregeln stellt man über die IPtables ein. Und wenn es dir um Pings geht dann ist das das ICMP Protokoll was du dort aktivieren oder deaktivieren musst !
http://de.wikipedia.org/wiki/Internet_Control_Message_Protocol
(Ping ist ICMP Paket Typ 0 und 8)

Vielleicht solltest du dir das Leben etwas erleichtern und eine besser fertige Firewall mit einem einfach zu bedienenden WebInterface in die VM zu kopieren.
Ein fertiges VMware Image gibt es z.B. für die sehr beliebte M0n0wall Firewall:

http://m0n0.ch/wall/beta.php
(Unter "generic-pc-vm")

Damit ersparst du dir das Rad neu zu erfinden auf einer nackten Linux Distro und hast eine mit Mausklicks über eine Weboberfläche einfach konfigurierbare Firewall im Handumdrehen aktiv !
Details zur Konfig über das Webinterface gibt dir das sehr gut dokumentierte Handbuch:
http://doc.m0n0.ch/handbook/
Bitte warten ..
Mitglied: DevInet
07.09.2009 um 14:55 Uhr
1.) Das ich damit das Routing nur einschalte ist mir klar. So ist es ja auch gedacht.
2.) ICMP ist freigegeben. INPUT und FORWARD stehen bei mir standartmässig auf DROP, nur OUTPUT ist offen.
3.) Chef besteht aber auf das CentOS mit selbst geschriebenen Regeln, ohne irgendwelche "graphical Frontends".

aber trotzdem thx.

PS: Mit "echo 1 >/proc/sys/net/ipv4/ip_forward" gehts auch nicht.
Bitte warten ..
Mitglied: Der-Phil
07.09.2009 um 14:56 Uhr
Hallo,

auch gut ist in meinen Augen der Firewallbuilder http://www.fwbuilder.org/.
Damit kannst Du einfach wie in einer Hardwarefirewall die Fiilterregeln zusammenclicken.

Phil
Bitte warten ..
Mitglied: DevInet
07.09.2009 um 14:59 Uhr
Schön, aber wie schon zweimal erwähnt soll ich das ohne "m0n0wall", "fwbuilder", "firestarter" oder "shorewall" machen. Das ganze soll halt nur über die "Linux-Bordmittel" laufen.

DevInet
Bitte warten ..
Mitglied: Der-Phil
07.09.2009 um 15:08 Uhr
Hallo,


zwischen fwbuilder und den anderen besteht ein gewaltiger Unterschied:
Firewallbuilder hat als Ausgabe lediglich ein Konfigurationsscript, das Du entweder als Vorlage für eine Eigenentwicklung nehmen kannst, oder nach ausführlicher Prüfung direkt einsetzen kannst.
Die anderen haben ein graphisches Frontend, das direkt die Maschine konfiguriert.

Also ganz locker bleiben... Ein fwbuilder script liefert Dir definitiv die Antwort auf Deine Fragen.

Phil
Bitte warten ..
Mitglied: DevInet
07.09.2009 um 15:14 Uhr
Wie gesagt, ich würde es ja gern so machen. Darf es aber nicht.

DevInet
Bitte warten ..
Mitglied: DevInet
07.09.2009 um 15:49 Uhr
So, habe mal cat auf ip-forward gemacht. stand noch auf 0 und eine der Windows-VMs hatte noch ne andere IP als zweite IP drin. nach erneutem echo gehts jetzt aber trotzdem nochmal danke für die hilfe.

PS: Habe mir mal FWbuilder auf der hp angeschaut, wasn das von Cisco was die da mitliefern?
Bitte warten ..
Mitglied: Der-Phil
07.09.2009 um 15:55 Uhr
Hallo,

FWBuilder erzeugt Config-Scripte - wahlweise für "iptables (netfilter), ipfilter, pf, ipfw, Cisco PIX (FWSM, ASA) and Cisco routers extended access lists".

Du kannst also theoretisch die Config machen, auf einer Linux-Maschine laufen lassen und später statt dessen ne Cisco PIX einsetzen indem Du einfach das entsprechende Script basteln lässt.

Phil
Bitte warten ..
Mitglied: DevInet
07.09.2009 um 15:57 Uhr
Hmm.. Dann werd ich mir das auf jedenfall mal genauer anschauen.

Mfg DevInet
Bitte warten ..
Mitglied: Der-Phil
07.09.2009 um 16:02 Uhr
Hallo,

für mich ist das der einzig "gangbare Weg", eine Linuxfirewall mit Regeln zu füllen. Alles andere ist ein riesiger Aufwand und wird sofort unübersichtlich. Lasse mich jedoch gerne vom Gegenteil überzeugen.

Phil
Bitte warten ..
Ähnliche Inhalte
RedHat, CentOS, Fedora
Linux-Distribution: CentOS 7.3 veröffentlicht

Link von Frank zum Thema RedHat, CentOS, Fedora ...

Linux Netzwerk
gelöst CentOS 7: Permanente Route hinzufügen (8)

Frage von honeybee zum Thema Linux Netzwerk ...

RedHat, CentOS, Fedora
gelöst CentOS: Aktualisierung von 7.2 zu 7.3 (5)

Frage von honeybee zum Thema RedHat, CentOS, Fedora ...

RedHat, CentOS, Fedora
gelöst Aktualisierung von CentOS 7 (2)

Frage von honeybee zum Thema RedHat, CentOS, Fedora ...

Neue Wissensbeiträge
Windows Update

Microsoft Update KB4034664 verursacht Probleme mit Multimonitor-Systemen

(2)

Tipp von beidermachtvongreyscull zum Thema Windows Update ...

Viren und Trojaner

CNC-Fräsen von MECANUMERIC werden (ggf.) mit Viren, Trojanern, Würmern ausgeliefert

(4)

Erfahrungsbericht von anteNope zum Thema Viren und Trojaner ...

Windows 10

Windows 10: Erste Anmeldung Animation deaktivieren

(3)

Anleitung von alemanne21 zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Netzwerkprotokolle
gelöst Leiten "dumme" Switches VLAN-Tags mit durch? (26)

Frage von coltseavers zum Thema Netzwerkprotokolle ...

Netzwerkgrundlagen
Kann auf Freigabe nicht Zugreifen (17)

Frage von leon123 zum Thema Netzwerkgrundlagen ...

Windows Server
gelöst Neues KB für W10 1607 und W2K16 wieder mal nicht im WSUS 3.0, hat das noch jemand? (16)

Frage von departure69 zum Thema Windows Server ...

Windows Server
DC virtualisieren + wie sichern (SingleDC-Environment) (12)

Frage von KMUlife zum Thema Windows Server ...