10
CentOS Linux-Router mit Paketfilter
Hallo zusammen. Ich bin neu hier und hab da mal ne Frage. Vorab meine Linux-Kenntnisse sind zum Großteil Ubuntu-bezogen mit graphischer Oberläche.
Also, folgendes Problem. Ich soll auf einer "CentOS 5.3 VM" einen Router mit Paketfilter einrichten. Soweit war das auch kein Problem. Hab CentOS in der VM, mit 3 Interfaces, installiert. Die Interfaces konfiguriert. IP-Tables bearbeitet. Nun habe ich dann einfach zum testen 2 Windows-VMs genommen und an zwei Interfaces angebunden. Ping zum Beispiel ist für "forward" freigegeben. Forward ist auch, soweit ich das sagen kann, eingeschaltet. Ich habe um es zu aktivieren in der Datei "/etc/sysctl.conf" "net.ipv4.ip_forward = 0" auf " = 1" gesetzt und dann im Terminal "/sbin/sysctl -p" eingegeben und enter gedrückt. Nun wollte ich das ganze testen, habe mich also auf einer der beiden Windows-Kisten angemeldet und mal nen Ping ausgeführt. Blöd an der Sache ist, dass immer "Zeitüberschreitung der Anforderung" kommt, egal von welcher Windows-VM aus. Von der Linux-VM aus lassen sich aber beide Windows-VMs Pingen. Wo liegt der Fehler? Und bitte nicht mit sachen wie Firestarter oder Shore ankommen. Ich soll das Ding leider komplett im Terminal machen, Vorgabe vom Chef. Wäre super wenn jemand mir helfen kann.
Mfg DevInet
Mfg DevInet
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 124372
Url: https://administrator.de/contentid/124372
Printed on: April 23, 2024 at 22:04 o'clock
10 Comments
Latest comment
net.ipv4.ip_forward = 0" auf " = 1 bedeutet nur das der Linux Rechner routet zwischen den Interfaces...nicht mehr !!
Siehe hier im Tutorial beschrieben:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Filterregeln stellt man über die IPtables ein. Und wenn es dir um Pings geht dann ist das das ICMP Protokoll was du dort aktivieren oder deaktivieren musst !
http://de.wikipedia.org/wiki/Internet_Control_Message_Protocol
(Ping ist ICMP Paket Typ 0 und 8)
Vielleicht solltest du dir das Leben etwas erleichtern und eine besser fertige Firewall mit einem einfach zu bedienenden WebInterface in die VM zu kopieren.
Ein fertiges VMware Image gibt es z.B. für die sehr beliebte M0n0wall Firewall:
http://m0n0.ch/wall/beta.php
(Unter "generic-pc-vm")
Damit ersparst du dir das Rad neu zu erfinden auf einer nackten Linux Distro und hast eine mit Mausklicks über eine Weboberfläche einfach konfigurierbare Firewall im Handumdrehen aktiv !
Details zur Konfig über das Webinterface gibt dir das sehr gut dokumentierte Handbuch:
http://doc.m0n0.ch/handbook/
Siehe hier im Tutorial beschrieben:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Filterregeln stellt man über die IPtables ein. Und wenn es dir um Pings geht dann ist das das ICMP Protokoll was du dort aktivieren oder deaktivieren musst !
http://de.wikipedia.org/wiki/Internet_Control_Message_Protocol
(Ping ist ICMP Paket Typ 0 und 8)
Vielleicht solltest du dir das Leben etwas erleichtern und eine besser fertige Firewall mit einem einfach zu bedienenden WebInterface in die VM zu kopieren.
Ein fertiges VMware Image gibt es z.B. für die sehr beliebte M0n0wall Firewall:
http://m0n0.ch/wall/beta.php
(Unter "generic-pc-vm")
Damit ersparst du dir das Rad neu zu erfinden auf einer nackten Linux Distro und hast eine mit Mausklicks über eine Weboberfläche einfach konfigurierbare Firewall im Handumdrehen aktiv !
Details zur Konfig über das Webinterface gibt dir das sehr gut dokumentierte Handbuch:
http://doc.m0n0.ch/handbook/
1.) Das ich damit das Routing nur einschalte ist mir klar. So ist es ja auch gedacht.
2.) ICMP ist freigegeben. INPUT und FORWARD stehen bei mir standartmässig auf DROP, nur OUTPUT ist offen.
3.) Chef besteht aber auf das CentOS mit selbst geschriebenen Regeln, ohne irgendwelche "graphical Frontends".
aber trotzdem thx.
PS: Mit "echo 1 >/proc/sys/net/ipv4/ip_forward" gehts auch nicht.
2.) ICMP ist freigegeben. INPUT und FORWARD stehen bei mir standartmässig auf DROP, nur OUTPUT ist offen.
3.) Chef besteht aber auf das CentOS mit selbst geschriebenen Regeln, ohne irgendwelche "graphical Frontends".
aber trotzdem thx.
PS: Mit "echo 1 >/proc/sys/net/ipv4/ip_forward" gehts auch nicht.
Hallo,
auch gut ist in meinen Augen der Firewallbuilder http://www.fwbuilder.org/.
Damit kannst Du einfach wie in einer Hardwarefirewall die Fiilterregeln zusammenclicken.
Phil
auch gut ist in meinen Augen der Firewallbuilder http://www.fwbuilder.org/.
Damit kannst Du einfach wie in einer Hardwarefirewall die Fiilterregeln zusammenclicken.
Phil
Schön, aber wie schon zweimal erwähnt soll ich das ohne "m0n0wall", "fwbuilder", "firestarter" oder "shorewall" machen. Das ganze soll halt nur über die "Linux-Bordmittel" laufen.
DevInet
DevInet
Hallo,
zwischen fwbuilder und den anderen besteht ein gewaltiger Unterschied:
Firewallbuilder hat als Ausgabe lediglich ein Konfigurationsscript, das Du entweder als Vorlage für eine Eigenentwicklung nehmen kannst, oder nach ausführlicher Prüfung direkt einsetzen kannst.
Die anderen haben ein graphisches Frontend, das direkt die Maschine konfiguriert.
Also ganz locker bleiben... Ein fwbuilder script liefert Dir definitiv die Antwort auf Deine Fragen.
Phil
zwischen fwbuilder und den anderen besteht ein gewaltiger Unterschied:
Firewallbuilder hat als Ausgabe lediglich ein Konfigurationsscript, das Du entweder als Vorlage für eine Eigenentwicklung nehmen kannst, oder nach ausführlicher Prüfung direkt einsetzen kannst.
Die anderen haben ein graphisches Frontend, das direkt die Maschine konfiguriert.
Also ganz locker bleiben... Ein fwbuilder script liefert Dir definitiv die Antwort auf Deine Fragen.
Phil
Wie gesagt, ich würde es ja gern so machen. Darf es aber nicht.
DevInet
DevInet
So, habe mal cat auf ip-forward gemacht. stand noch auf 0 und eine der Windows-VMs hatte noch ne andere IP als zweite IP drin. nach erneutem echo gehts jetzt aber trotzdem nochmal danke für die hilfe.
PS: Habe mir mal FWbuilder auf der hp angeschaut, wasn das von Cisco was die da mitliefern?
PS: Habe mir mal FWbuilder auf der hp angeschaut, wasn das von Cisco was die da mitliefern?
Hallo,
FWBuilder erzeugt Config-Scripte - wahlweise für "iptables (netfilter), ipfilter, pf, ipfw, Cisco PIX (FWSM, ASA) and Cisco routers extended access lists".
Du kannst also theoretisch die Config machen, auf einer Linux-Maschine laufen lassen und später statt dessen ne Cisco PIX einsetzen indem Du einfach das entsprechende Script basteln lässt.
Phil
FWBuilder erzeugt Config-Scripte - wahlweise für "iptables (netfilter), ipfilter, pf, ipfw, Cisco PIX (FWSM, ASA) and Cisco routers extended access lists".
Du kannst also theoretisch die Config machen, auf einer Linux-Maschine laufen lassen und später statt dessen ne Cisco PIX einsetzen indem Du einfach das entsprechende Script basteln lässt.
Phil
Hmm.. Dann werd ich mir das auf jedenfall mal genauer anschauen.
Mfg DevInet
Mfg DevInet
Hallo,
für mich ist das der einzig "gangbare Weg", eine Linuxfirewall mit Regeln zu füllen. Alles andere ist ein riesiger Aufwand und wird sofort unübersichtlich. Lasse mich jedoch gerne vom Gegenteil überzeugen.
Phil
für mich ist das der einzig "gangbare Weg", eine Linuxfirewall mit Regeln zu füllen. Alles andere ist ein riesiger Aufwand und wird sofort unübersichtlich. Lasse mich jedoch gerne vom Gegenteil überzeugen.
Phil
