Linux Firewalls & die Kernels
Sebastian S.
ich täte gerne meine Linux Kiste als ADSL-Router benutzen. Routen wollte ich
ganz gerne mit der Firewall.
Und hier kommt auch schon das Problem: Ich verwende den Linux Kernel 2.4.
Wenn ich die Firewall starte bekomme ich die Meldung, dass die Firewall1
nicht mit dem 2.4er Kernel funktioniert. Ich sollte doch bitte den 2.2er
Kernel oder die Firewall2 benutzen.
Mit dem 2.2er Kernel bekomme ich keine DSL Verbindung hin (da bin ich
wahrscheinlich einfach zu blöd zu) Ausserdem würde ich auch gerne den 2.4er
Kernel weiter verwenden.
Die Firewall2 ist ja noch im Beta Test. Und ich hab im Internet auch öfter
gelesen, dass die noch nicht so ganz gut funktioniert.
Ist es nicht irgendwie möglich, die Firewall 1 unter dem 2.4er Kernel zu
verwenden?
Ich habe schon versucht von ipchains auf iptables zu wechseln (in yast
chains deinstalliert und iptables installiert)
Es wird aber trotzdem ipchains geladen (vermutlich muss ich da das
Firewall_init Skript auch für ändern)
Habt Ihr vielleicht nen Lösungansatz für mich?
Danke schon im Vorraus
Sebastian
Andreas Kretschmer
> Habt Ihr vielleicht nen Lösungansatz für mich?
Den von Dir eh nicht verstandenen SuSE-FW-Mist komplett entsorgen, einen
aktuellen (2.4.18) Kernel installieren, sich die Doku zu imtables
einziehen und das Script dann selber bauen. Ist leichter als Du denkst,
man muß es nur erst einmal verstehen.
Andreas
--
Diese Message wurde erstellt mit freundlicher Unterstützung eines frei-
laufenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert
frei von Micro$oft'schen Viren. (#97922 http://counter.li.org)
Was, Sie wissen nicht, wo Kaufbach ist? : N 51.05082°, E 13.56889° ;-)
Michael Andresen
[SuSEFirewall]
Naja, das Problem ist nicht der 2.4er Kernel, sondern die
Marketingtaktik, die SuSE (leider) inzwischen faehrt[1].
(BTW: ich habe auch ein SuSE-Distribution)
Also:
Du willst vermutlich den im Linux-Kernel enthaltenen Paketfilter nutzen
(Paketfilter != Firewall).
Dieser Paketfilter (netfilter) wird ueber ein Programm namens iptables
konfiguriert.
Bei dem Kernel 2.2 machte das ein Programm, das ipchains hiess; es gab
damals eine andere Syntax und auch weniger Moeglichkeiten.
SuSE hat nun vorgefertigte Skripten angelegt, die diese Programme mit den
nötigen Angaben versorgen; allerdings ist das ja immer so eine Sache mit
Vereinfachungen... manchmal legt man damit dem anderen eher noch
Hindernisse in den Weg. So scheint es hier zu sein; "firewall1" ist ein
Skript, das ipchains erwartet, "firewall2" erwartet hingegen iptables.
Infos zu Firewalls allgemein und ipchains im Speziellen:
http://www.little-idiot.de/firewall/zusammen.html
(nicht mehr topaktuell, geht aber auf ipchains ein)
Du *kannst* ipchains auch mit einem 2.4er Kernel laufen lassen, verschenkst
dann sowohl bei ipchains als auch bei iptables eine Reihe Möglichkeiten;
das wirst Du nicht wollen, vermute ich.
Infos zu iptables:
netfilter.samba.org/
speziell
netfilter.samba.org/unreliable-guides/packet-filtering-HOWTO/
packet-filtering-HOWTO.linuxdoc.html (Zeilenumbruch!)
>
> Mit dem 2.2er Kernel bekomme ich keine DSL Verbindung hin (da bin ich
> wahrscheinlich einfach zu blöd zu) Ausserdem würde ich auch gerne den
> 2.4er Kernel weiter verwenden.
>
> Die Firewall2 ist ja noch im Beta Test. Und ich hab im Internet auch öfter
> gelesen, dass die noch nicht so ganz gut funktioniert.
>
> Ist es nicht irgendwie möglich, die Firewall 1 unter dem 2.4er Kernel zu
> verwenden?
Mein Rat: mach Dich schlau und schreib Dir dein eigenes Skript. Das (dein
Wissen) schafft Sicherheit; alles andere ist Pseudo.
Denn egal wie gut das instrument ist; was nuetzt es Dir, wenn Du es nicht
benutzen kannst, weil Du es nicht verstehst?
>
> Ich habe schon versucht von ipchains auf iptables zu wechseln (in yast
> chains deinstalliert und iptables installiert)
> Es wird aber trotzdem ipchains geladen (vermutlich muss ich da das
> Firewall_init Skript auch für ändern)
>
> Habt Ihr vielleicht nen Lösungansatz für mich?
Klaro:
Informiere Dich ueber die im Netz verwendeten Protokolle
Mach Dir klar, was Du willst und was Du wie schuetzen willst
Klopf Dein Konzept auf innere Widersprueche ab
Sichere Deine anderen hosts ab; Dein Newsreader sollte relativ weit oben
auf der Dringlichkeitsliste stehen
Schmeiss alle Dienste vom Rechner, die du nicht zwingend brauchst.
Beschraenke die verbliebenen Dienste in ihrer Reichweite (Stichwort
tcp-wrapper)
Entferne die Quellen und den C-Compiler vom Router
In /etc/rc.config verneinen, dass das SuSE-eigene Skript gestartet wird, es
ggf. aus den Runlevels rausloeschen (die Links, das Original kannst Du ja
aus Neugier behalten)
Ueberleg, ob Du einen Paketfilter als Teil Deines FW-Konzeptes brauchst.
Falls nein: hier fertig (benoetigte Dienste werden dann ueber Proxys u.ae.
angeboten).
Falls ja:
Dein eigenes Skript anlegen und Links in die runlevel-Verzeichnisse legen,
in denen Du es starten willst (2,3,5 vermutlich).Mein Rat: nimm iptables;
es ist einfacher und imho auch maechtiger als ipchains.
Und es gehort zu einer stabilen Kernelversion (2.4) die ja nun auch nicht
gerade gestern erst herausgekommen ist...
YMMV
//M
--
Goodbye Douglas!
Whereever you are now, keep your towel and: don't panic.
Felix von Leitner
> ich täte gerne meine Linux Kiste als ADSL-Router benutzen. Routen wollte ich
> ganz gerne mit der Firewall.
Warum setzt du Sachen ein, die du nicht mal im Entferntesten verstehst?
Geh bitte woanders spielen.
Sebastian S.
> Warum setzt du Sachen ein, die du nicht mal im Entferntesten verstehst?
>
> Geh bitte woanders spielen.
Pöbelst Du jeden an, der von etwas weniger Ahnung hat als Du?
Rainer Weikusat
> Habt Ihr vielleicht nen Lösungansatz für mich?
Selbstmord.
F'up2 poster
Paul Muster
Leute ohne vollständigem realname sollten nicht jammern sondern
die newusers-Gruppen und die FAQs lesen.
mfG Paul
--
eMails ans From: werden ungelesen gelöscht.
Jonas M Luster
> ich täte gerne meine Linux Kiste als ADSL-Router benutzen. Routen wollte ich
> ganz gerne mit der Firewall.
Routing mit der Firewall ist einfach:
fetch zebra.tgz
tar zxvf zebra.tgz
cd zebra
./configure
make
make install
vi zebra.conf
telnet <zebra-port>
conf t
..
..
..
..
etc..
cd /etc/firewall
vi firewall.conf
..
..
..
..
..
etc..
fertig.
Johannes Lichtenberger
> Und es gehort zu einer stabilen Kernelversion (2.4) die ja nun auch nicht
> gerade gestern erst herausgekommen ist...
Stabile Kernelversionen waren es aber dennoch nicht.
Gruss, Johannes
Xaver Momsen
> Warum setzt du Sachen ein, die du nicht mal im Entferntesten verstehst?
>
> Geh bitte woanders spielen.
>
--------------------------
/| /| | |
||__|| | Please don't |
/ O O\__ feed |
/ \ the mega-troll |
/ \ \ |
/ _ \ \ ----------------------
/ |\____\ \ ||
/ | | | |\____/ ||
/ \|_|_|/ | __||
/ / \ |____| ||
/ | | /| | --|
| | |// |____ --|
* _ | |_|_|_| | \-/
*-- _--\ _ \ // |
/ _ \\ _ // | /
* / \_ /- | - | |
* ___ c_c_c_C/ \C_c_c_c____________
Michael Raab
at Sat, 2 Mar 2002 20:32:09 +0100 Xaver Momsen wrote:
> >
> > Warum setzt du Sachen ein, die du nicht mal im Entferntesten
> > verstehst?
> >
> > Geh bitte woanders spielen.
> >
[ascii_troll_monster digital entsorgt]
Xaver lass bitte Deine digitalen Haustiere bei Dir, ok?
Gruß
Michael
--
Homepage temporarily out of order Registered Linux User #228306
Phone/Fax +49 7000 MACBYTE http://counter.li.org
GNU GPG-Key ID 22C51B8D0140F88B ICQ #151172379
++ Webdesign ++ PHP Development ++
Michael Raab
at Sat, 02 Mar 2002 15:58:03 GMT Felix von Leitner wrote:
> Thus spake Sebastian S. (sp...@i-master.de):
> > ich täte gerne meine Linux Kiste als ADSL-Router benutzen. Routen
> > wollte ich ganz gerne mit der Firewall.
>
> Warum setzt du Sachen ein, die du nicht mal im Entferntesten
> verstehst?
Hast Du nicht auch mal angefangen, mit Linux ?
Sebastian S.
> > > verstehst?
> > >
> > > Geh bitte woanders spielen.
> >
> > Pöbelst Du jeden an, der von etwas weniger Ahnung hat als Du?
>
> Leute ohne vollständigem realname sollten nicht jammern sondern
> die newusers-Gruppen und die FAQs lesen.
1. Das eine hat mit dem anderen nichts zu tun
2. Habe ich eine ernstgemeinte Frage gestellt, die mir leider weder Foren
noch FAQs beantworten konnten. Wenn einige meinen, dass Sie durch
unqualifizierte Bemerkungen und Beleidigungen sich hier profilieren müssen,
dann sollen Sie das tun.
Ich für meinen Teil werde um die Newsgroups was Linux angeht, in Zukunft
einen grossen Bogen machen. (Klar, hier werden jetzt reichlich Jipi und
Hurra Bemerkungen folgen. Was wäre ein Posting ohne eine gehässige
Bemerkung) Aber nur, weil ich erst seit 1 oder 2 Wochen Linux habe muss ich
mich hier nicht zur Sau machen lassen, auch wenn das Posting auch nicht
eurem ach-so-hohem Niveau entspricht.
In diesem Sinne
Sebastian
Felix von Leitner
> > Geh bitte woanders spielen.
> Pöbelst Du jeden an, der von etwas weniger Ahnung hat als Du?
Nein, nur Volldeppen, Outlook-User, Knalltüten ohne Realnamen und
Trolle. Kurz: Leute wie dich.
Felix von Leitner
> > Warum setzt du Sachen ein, die du nicht mal im Entferntesten
> > verstehst?
> Hast Du nicht auch mal angefangen, mit Linux ?
Ja.
Ich habe dann aber nicht andere Leute mit dämlichen Fragen belästigt.
Franz-Josef Vorspohl
news:3c83...@fefe.de...
> > Hast Du nicht auch mal angefangen, mit Linux ?
Dafuer muellst Du jetzt das Forum zu ...
Hast Du auch schonmal einen sinnvollen Beitrag gemacht?
Ich hab bislang ausschliesslich unsachlichen Schrott gelesen.
Sorry aber musste sein ...
Rainer Weikusat
> Dafuer muellst Du jetzt das Forum zu ...
Nein Franzi, Du tust das.
> Hast Du auch schonmal einen sinnvollen Beitrag gemacht?
Du vielleicht, Clown?
Juergen P. Meier
> "Franz-Josef Vorspohl" <fj.vo...@gmx.de> writes:
>> Dafuer muellst Du jetzt das Forum zu ...
>
> Nein Franzi, Du tust das.
*psst* Franzi weis nicht das dies hier kein "Forum" ist.
Er sollte lieber wieder zurueck ins Web kriechen, da wo ganz
viele Foren sind.
>> Hast Du auch schonmal einen sinnvollen Beitrag gemacht?
google existiert.
> Du vielleicht, Clown?
Nana, fuer einen Clown reicht es nicht ganz. Dazu gehoert schon mehr
als nur einfaches Trollen.
Juergen
--
_ _ | Juergen P. Meier
/.._ _ _ /_) /|/| . _ | "This World is about
\_/(// (/(`// / . / |(`/(`/ | to be Destroyed."
=======_/======================== | J...@lrz.fh-muenchen.de