6934
Goto Top

Proxy-Server IPCOP 1.4.4

Hallo.

Ich habe mir jetzt ein IPCOP 1.4.4 Rechner zusammengebastelt.
Ich kann auch mit einem Client den IPCOP Rechner anpingen und umgekehrt ebefalls.

Habe meine Benutzerdaten usw. alles eingegeben. Ich erhalte aber diese Fehlermeldung,wenn
ich vom Client (WINXP) über Firefox ins Internet gehen möchte:

While trying to retrieve the URL: http://www.t-online.de
The following error was encountered.
Unable to determine IP-Address from host name for http://www.t-online.de
The dnsserver returned:
Refused: The name server refuses to perform the specified operation

This means that:
The cache was not able to resolve the hostname present in the URL
Check if this address is correct

Your cache admin.


Cron Server==========LÄUFT
DHCP Server =========LÄUFT
DNS Server==========LÄUFT
IDS GREEN==========LÄUFT
IDS RED============ANGEHALTEN
Kernel Protokollierungs Server=LÄUFT
NTP-Server==========ANGEHALTEN
Secure Shell Server==== ANGEHALTEN
VPN===============ANGEHALTEN
WEB-PROXY=========LÄUFT
WEB-Server=========LÄUFT


Was muss ich jetzt machen, damit ich ins Internet gehen kann?

Ich möchte ausserdem nur, dass auf dem IPCOP Rechner:
- Nur die Seiten gecacht werden
- dass die Daten mit nem Virenscanner überprüft werden (muss noch ein MOD runterladen!)
- Firewall von LAN zu WAN und umgekehrt will ich kontrollieren (muss ich auch noch ein MOD runterladen!)
- Kein WEB-Server also nix was von aussen rein kommen darf!

Content-ID: 8656

Url: https://administrator.de/contentid/8656

Ausgedruckt am: 22.11.2024 um 21:11 Uhr

theton
theton 03.04.2005 um 17:56:37 Uhr
Goto Top
Sind die Nameserver beim Server in der /etc/resolv.conf UND beim Win-Client (unter Eigenschaften des Netzwerk-Interfaces) richtig eingetragen? Ist der Gateway beim Client richtig eingestellt? Das sind die Punkte, die ich erstmal überprüfen würde.
Für's Routing benutze ich immer entsprechend angepasste Versionen, des folgenden init.d-Skripts, damit gabs bisher keine Probleme bei der Verbindung mit dem DNS und es hat schon (in ähnlicher Form) ein CCC-Treffen "überlebt".

#!/bin/bash
echo "Starting firewall and routing"  
LOGLIMIT=20
IPTABLES=/sbin/iptables
case "$1" in  
start)
        # alle alten Regeln entfernen
        echo "Loesche alte Regeln"  
        $IPTABLES -F
        $IPTABLES -X

        ### MAIN PART ###
        echo "Setze Default-Policy auf DROP"  
        $IPTABLES -P INPUT DROP
        $IPTABLES -P FORWARD DROP
        $IPTABLES -P OUTPUT ACCEPT
        # IP-Forwarding aktivieren
        echo 1 > /proc/sys/net/ipv4/ip_forward
        # Bereits bestehende Verbindungen zulassen
        $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
        $IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
        # Routing und Masquerading
        $IPTABLES -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
        ### ERSTELLE NEUE KETTEN ###
        echo "Erstelle neue Ketten"  
        # Chain to log and reject a port by ICMP port unreachable
        $IPTABLES -N LOGREJECT
        $IPTABLES -A LOGREJECT -m limit --limit $LOGLIMIT/minute -j LOG --log-prefix "FIREWALL REJECT " --log-level notice --log-ip-options --log-tcp-options  
        $IPTABLES -A LOGREJECT -j REJECT --reject-with icmp-port-unreachable
        ### PROC MANIPULATION ###
        # auf Broadcast-Pings nicht antworten
        echo "Unterbinde Broadcast-Pings"  
        echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
        # halt die Klappe bei komischen ICMP Nachrichten
        echo "Aktiviere Bogus ICMP Message Protection"  
        echo 0 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
        # aktiviere SYN Flood Protection
        echo "Aktiviere SYN FLOOD Protection"  
        echo 1 > /proc/sys/net/ipv4/tcp_syncookies
        # Kicke den ganzen IP Spoofing Shit
        # (Source-Validierung anschalten)
        echo "Unterbinde IP Spoofing Attacken"  
        echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
        # Setze Default-TTL auf 61 (Default fuer Linux ist 64) ->
        # Betriebssystem-Version verstecken
        echo "Setze Default-TTL auf 61"  
        echo 61 > /proc/sys/net/ipv4/ip_default_ttl
        # sende RST-Pakete wenn der Buffer voll ist
        echo 1 > /proc/sys/net/ipv4/tcp_abort_on_overflow
        # warte max. 30 secs auf ein FIN/ACK
        echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout
        # unterbreche Verbindungsaufbau nach 3 SYN-Paketen
        # Default ist 6
        echo 3 > /proc/sys/net/ipv4/tcp_syn_retries
        # unterbreche Verbindungsaufbau nach 3 SYN/ACK-Paketen
        # Default ist 6
        echo 3 > /proc/sys/net/ipv4/tcp_synack_retries
        # im Loopback (127.0.0.1) koennen wir jedem trauen
        $IPTABLES -A INPUT -i lo -j ACCEPT
        # erlaube Pings
        $IPTABLES -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
        ;;
*)
        echo "Usage: `basename $0` {start}" >&2  
        exit 64
        ;;
esac
exit 0
6934
6934 04.04.2005 um 23:13:29 Uhr
Goto Top
Hallo.

Ich habe es jetzt hinbekommen. Es lag daran, dass ich normalerweise die Proxyeinstellungen im Browser noch eingeben müsste. Wenn man dort aber beim Proxy "TRANSPARENT EIN" aktiviert
dann muss man die Daten nicht eingeben. Also lag es daran, dass das deaktiviert war.

Trotzdem Danke!
cosy
cosy 30.12.2006 um 09:18:59 Uhr
Goto Top
Hallo ihr Beiden

Diese Notiz dient lediglich den vielen Usern, welche später über diesen Artikel stolpern werden:
ipcop ist eine richtige, ausgewachsene Firewall unter Linux. Die Probleme, welche
NeoGeo beschreibt, sind typisch für eine noch nicht optimal eingestellte Firewall
- Proxy:
Ein Proxy ist eine Funktion, welche 2 Gesichter hat und auf der Schnittstelle zwischen Internet und internem Netzwerk (LAN) sitzt- eben auf der Firewall (FW):
auf der einen Seite verhält sich ein http-Proxy fürs Internet wie ein Browser (I.E. , Firefox..) und sammelt den Inhalt angeforderter Webseiten in seinem RAM oder lagert das auf Disk aus
auf der andern Seite richtung LAN verhält er sich wie ein Webserver: reagiert auf Anfragen und liefert Inhalt (Content) der Seiten an den Fragenden.
Der Witz an der Sache ist, dass der Proxy den Datenverkehr aus logischer Sicht komplett aufbricht und somit der Anfragende und der Anbietende sich nie kennenlernen, weil der Proxy dazwischen ist (Bei James Bond und Co. ist das die Funktion der grauen Schlapphüte ohne Namen und ohne Geschichte..)
Es gibt einen Modus (normal) in dem der Benutzer einen Andern als den üblichen Port (80) benutzen muss, um aus dem LAN an eine Webseite zu gelangen. Dies muss jeweils beim Browser eingestellt werden (es gibt noch die Einstellung des MS-Assistenten "Proxy-Einstellungen automatisch ermitteln")
und den Modus "transparent". In diesem Modus arbeitet der Proxy intern wie extern nur mit Standardports. Der Browser merkt gar nicht, dass er nicht mit der wirklichen Informationsquelle, sondern nur mit einem "Vermittler" kommuniziert hat.

- Firewalls generell:
Eine Firewall ist definitiv nicht ein einfaches Programm. Du solltest die Systemeinstellungen von IPCOP nie direkt wie von Theton beschrieben über Scripts steuern.
zum Beispiel nutzt IPCOP das Programm iptables in einer ganz besonderen Weise.
Der Aufruf im Script von theton würde ein Chaos anrichten. Oder der Schutz vor SYN/ACK und flooding wird mit dem Paket SNORT in ipcop auf eine spezielle Weise gemacht.
Es empfiehlt sich unbedingt, in SNORT wenn immer möglich nur über das GUI veränderungen vorzunehmen. Das System wird sonst instabil und ist nicht mehr patchbar. Backup aus der IPCOP - Recover Funktion raus kannste eh vergessen, wenn Du configs selbst umschreibst..
Ein gutes neues Jahr wünscht
Cosy