Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

CentOS Linux-Router mit Paketfilter

Frage Linux RedHat, CentOS, Fedora

Mitglied: DevInet

DevInet (Level 1) - Jetzt verbinden

07.09.2009, aktualisiert 18.10.2012, 7566 Aufrufe, 10 Kommentare

Hallo zusammen. Ich bin neu hier und hab da mal ne Frage. Vorab meine Linux-Kenntnisse sind zum Großteil Ubuntu-bezogen mit graphischer Oberläche.

Also, folgendes Problem. Ich soll auf einer "CentOS 5.3 VM" einen Router mit Paketfilter einrichten. Soweit war das auch kein Problem. Hab CentOS in der VM, mit 3 Interfaces, installiert. Die Interfaces konfiguriert. IP-Tables bearbeitet. Nun habe ich dann einfach zum testen 2 Windows-VMs genommen und an zwei Interfaces angebunden. Ping zum Beispiel ist für "forward" freigegeben. Forward ist auch, soweit ich das sagen kann, eingeschaltet. Ich habe um es zu aktivieren in der Datei "/etc/sysctl.conf" "net.ipv4.ip_forward = 0" auf " = 1" gesetzt und dann im Terminal "/sbin/sysctl -p" eingegeben und enter gedrückt. Nun wollte ich das ganze testen, habe mich also auf einer der beiden Windows-Kisten angemeldet und mal nen Ping ausgeführt. Blöd an der Sache ist, dass immer "Zeitüberschreitung der Anforderung" kommt, egal von welcher Windows-VM aus. Von der Linux-VM aus lassen sich aber beide Windows-VMs Pingen. Wo liegt der Fehler? Und bitte nicht mit sachen wie Firestarter oder Shore ankommen. Ich soll das Ding leider komplett im Terminal machen, Vorgabe vom Chef. Wäre super wenn jemand mir helfen kann.

Mfg DevInet
Mitglied: aqui
07.09.2009, aktualisiert 18.10.2012
net.ipv4.ip_forward = 0" auf " = 1 bedeutet nur das der Linux Rechner routet zwischen den Interfaces...nicht mehr !!
Siehe hier im Tutorial beschrieben:
http://www.administrator.de/wissen/routing-mit-2-netzwerkkarten-unter-w ...

Filterregeln stellt man über die IPtables ein. Und wenn es dir um Pings geht dann ist das das ICMP Protokoll was du dort aktivieren oder deaktivieren musst !
http://de.wikipedia.org/wiki/Internet_Control_Message_Protocol
(Ping ist ICMP Paket Typ 0 und 8)

Vielleicht solltest du dir das Leben etwas erleichtern und eine besser fertige Firewall mit einem einfach zu bedienenden WebInterface in die VM zu kopieren.
Ein fertiges VMware Image gibt es z.B. für die sehr beliebte M0n0wall Firewall:

http://m0n0.ch/wall/beta.php
(Unter "generic-pc-vm")

Damit ersparst du dir das Rad neu zu erfinden auf einer nackten Linux Distro und hast eine mit Mausklicks über eine Weboberfläche einfach konfigurierbare Firewall im Handumdrehen aktiv !
Details zur Konfig über das Webinterface gibt dir das sehr gut dokumentierte Handbuch:
http://doc.m0n0.ch/handbook/
Bitte warten ..
Mitglied: DevInet
07.09.2009 um 14:55 Uhr
1.) Das ich damit das Routing nur einschalte ist mir klar. So ist es ja auch gedacht.
2.) ICMP ist freigegeben. INPUT und FORWARD stehen bei mir standartmässig auf DROP, nur OUTPUT ist offen.
3.) Chef besteht aber auf das CentOS mit selbst geschriebenen Regeln, ohne irgendwelche "graphical Frontends".

aber trotzdem thx.

PS: Mit "echo 1 >/proc/sys/net/ipv4/ip_forward" gehts auch nicht.
Bitte warten ..
Mitglied: Der-Phil
07.09.2009 um 14:56 Uhr
Hallo,

auch gut ist in meinen Augen der Firewallbuilder http://www.fwbuilder.org/.
Damit kannst Du einfach wie in einer Hardwarefirewall die Fiilterregeln zusammenclicken.

Phil
Bitte warten ..
Mitglied: DevInet
07.09.2009 um 14:59 Uhr
Schön, aber wie schon zweimal erwähnt soll ich das ohne "m0n0wall", "fwbuilder", "firestarter" oder "shorewall" machen. Das ganze soll halt nur über die "Linux-Bordmittel" laufen.

DevInet
Bitte warten ..
Mitglied: Der-Phil
07.09.2009 um 15:08 Uhr
Hallo,


zwischen fwbuilder und den anderen besteht ein gewaltiger Unterschied:
Firewallbuilder hat als Ausgabe lediglich ein Konfigurationsscript, das Du entweder als Vorlage für eine Eigenentwicklung nehmen kannst, oder nach ausführlicher Prüfung direkt einsetzen kannst.
Die anderen haben ein graphisches Frontend, das direkt die Maschine konfiguriert.

Also ganz locker bleiben... Ein fwbuilder script liefert Dir definitiv die Antwort auf Deine Fragen.

Phil
Bitte warten ..
Mitglied: DevInet
07.09.2009 um 15:14 Uhr
Wie gesagt, ich würde es ja gern so machen. Darf es aber nicht.

DevInet
Bitte warten ..
Mitglied: DevInet
07.09.2009 um 15:49 Uhr
So, habe mal cat auf ip-forward gemacht. stand noch auf 0 und eine der Windows-VMs hatte noch ne andere IP als zweite IP drin. nach erneutem echo gehts jetzt aber trotzdem nochmal danke für die hilfe.

PS: Habe mir mal FWbuilder auf der hp angeschaut, wasn das von Cisco was die da mitliefern?
Bitte warten ..
Mitglied: Der-Phil
07.09.2009 um 15:55 Uhr
Hallo,

FWBuilder erzeugt Config-Scripte - wahlweise für "iptables (netfilter), ipfilter, pf, ipfw, Cisco PIX (FWSM, ASA) and Cisco routers extended access lists".

Du kannst also theoretisch die Config machen, auf einer Linux-Maschine laufen lassen und später statt dessen ne Cisco PIX einsetzen indem Du einfach das entsprechende Script basteln lässt.

Phil
Bitte warten ..
Mitglied: DevInet
07.09.2009 um 15:57 Uhr
Hmm.. Dann werd ich mir das auf jedenfall mal genauer anschauen.

Mfg DevInet
Bitte warten ..
Mitglied: Der-Phil
07.09.2009 um 16:02 Uhr
Hallo,

für mich ist das der einzig "gangbare Weg", eine Linuxfirewall mit Regeln zu füllen. Alles andere ist ein riesiger Aufwand und wird sofort unübersichtlich. Lasse mich jedoch gerne vom Gegenteil überzeugen.

Phil
Bitte warten ..
Ähnliche Inhalte
Linux Netzwerk
CentOS 7: Permanente Route hinzufügen
gelöst Frage von honeybeeLinux Netzwerk8 Kommentare

Hallo, das Hinzufügen der Hostroute hat geklappt - danke! Leider wird das aber nicht dauerhaft abgespeichert. Ich habe unter ...

Hyper-V
CentOS 6 Linux auf HyperV - Festplatten Größe erweitern
Anleitung von rzlbrnftHyper-V1 Kommentar

Folgende Problemstellung musste ich lösen: Unsere CentOS 6 Installation die für Nagios/Nagvis/Centreon gedacht war, wurde auf einer 10 GB ...

Firewall
Authentifizierung mittels Paketfilter
Frage von teret4242Firewall6 Kommentare

Hallo, es ist ja bekannt, dass Paketfilter so ihre Schwächen haben (Tunneling etc.). Allerdings gibt es ja auch einfachere ...

Linux Netzwerk
Linux Router ipv6
gelöst Frage von NeuRechnernetzeLinux Netzwerk3 Kommentare

Hallo. Ich benutze den Computer als einen Router. Fuer ein ipv6 Netzwerk. Mit Linux. Kann ich das folgende tun: ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 2 TagenWindows 106 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 2 TagenSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 2 TagenInternet5 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 2 TagenDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
Batch & Shell
Kann man mit einer .txt Datei eine .bat Datei öffnen?
gelöst Frage von HelloWorldBatch & Shell20 Kommentare

Wie schon im Titel beschrieben würde ich gerne durch einfaches klicken auf eine Text oder Word Datei eine Batch ...

Router & Routing
OpenWRT bzw. L.E.D.E auf Buffalo WZR-HP-AG300H - update
gelöst Frage von EpigeneseRouter & Routing11 Kommentare

Guten Tag, ich habe auf einem Buffalo WZR-HP-AG300H die alternative Firmware vom L.E.D.E Projekt geflasht. Ich bin es von ...

LAN, WAN, Wireless
WLAN Reichweite erhöhen mit neuer Antenne
gelöst Frage von gdconsultLAN, WAN, Wireless9 Kommentare

Hallo, ich besitze einen TL-WN722N USB-WLAN Dongle mit einer richtigen Antenne. Ich frage mich jetzt ob man die Reichweite ...

Windows Server
Ping auf einen bestimmten Server nicht möglich
gelöst Frage von a.thierWindows Server7 Kommentare

Hallo, ich habe folgendes Problem. srv-dc1: Ping srv-nav > geht Ping srv-exchange > geht nicht srv-exchange: Ping srv-dc1 > ...