RE: ipmasq

[Dirk Egert <bb037 dvz fh-koeln de>]

On 08-Mar-2000 Sebastian Ude wrote:
> Ich bräuche eine Lösung für Folgendes problem:
> 
> 192.168.1.1 - Hat Dial UP Inet
> 192.168.1.2 - Soll über 192.168.1.1 ins inet kommen.
> 
> 
> Meine erste IP-Masq-Lösung sah so aus:
> 
> ipchains -F
> ipchains -P input DENY
> ipchains -P forward DENY
> ipchains -P output DENY
> ipchains -A input -i lo -j ACCEPT
> ipchains -A output -i lo -j ACCEPT
> ipchains -A input -i ippp0 -s 192.168.1.2/24 -j ACCEPT
> ipchains -A output -i ippp0 -d 192.168.1.2/24 -j ACCEPT
> 
> Und war relativ unbrauchbar, da dann 192.168.1.1 auf keinen anderen
> Server mehr darf und 192.168.1.2 auch nicht mehr per FTP auf
> 192.168.1.1.

Hallo Sebastian,

warum konfigurierst Du das ganze nicht gleich als Mini-Firewall. Das Skript
kann man unter http://www.linux-firewall-tools.com/linux/firewall/index.html
ganz einfach erstellen. Habe ich auch letztes Wochenende auf meinem Rechner
hier zuhause gemacht.
Wenn Du eine dynamische IP hast kannst Du dem Skript mit
IPADDR=`ifconfig ppp0 | grep inet | cut -d : -f 2 | cut -d \  -f 1` 

die aktuelle IP übergeben. Laß das rc.firewall Skript einfach in /etc/ppp/ip-up
ausführen. In /etc/ppp/ip-down kannst du dann noch ein accept-all skript
ausführen lassen, wo wieder alles erlaubt wird.

/etc/rc.d/accept-all
--------------------
#!/bin/sh

ipchains -F input
ipchains -F output
ipchains -F forward

ipchains -P input ACCEPT
ipchains -P output ACCEPT
ipchains -O forward ACCEPT
---------------------------

Das gibt einem etwas mehr Sicherheit im Internet.
In den Logfiles sieht man dann schon mal öfter scans auf Port 31789
(Hack'a'Tack) oder andere Trojaner Ports - besonders bei einer dauerhaften
Internetverbindung und dann sehr regelmäßig aus Zypern! Da scheint da so ein
Art Volkssport zu sein. Ich weiß bald nicht mehr wo hin mit den geloggten IP's.

Hoffe das ganze hilft Dir irgendwie weiter.

Gruß,

    Dirk