|
| FreeBSD, firewall og NAT Fra : Jonathan Stein |
Dato : 14-03-02 14:24 |
|
Jeg sidder og eksperimenterer med en FreeBSD ver. 4.5, som jeg gerne
ville have til at køre firewall og NAT-router.
Det lykkedes mig at få ipfw til at virke inden jeg læste, at man skulle
bygge en ny kerne! Er det stadig nødvendigt at lave en custom-kerne for
at bruge firewall og NAT i ver. 4.5?
Maskinen er har to netkort - det ene får IP via DHCP fra en TDC Bredbånd
ADSL-linje - det andet har statisk intern IP-adresse.
Fra maskinen kan jeg pinge og browse alt - det fungerer fint nok.
Fra det interne net (hvor maskinerne har FreeBSD-maskinens interne
IP-adresse som gateway), kan jeg pinge både den interne IP-adresse og
den DHCP-tildelte, men jeg kan ikke pinge den DHCP-tildelte
standard-gateway eller videre ud i verden. Jeg kan dog se, at der er
aktivitet på begge netkort, når jeg forsøger at pinge en ekstern
adresse.
I /etc/rc.conf har jeg bl.a.:
kern_securelevel="2"
kern_securelevel_enable="YES"
firewall_enable="YES"
firewall_type="open" (som test)
gateway_enable="YES"
natd_enable="YES"
natd_interface="ed0" (ydersiden)
Gode idéer modtages med tak.
M.v.h.
Jonathan
--
Nyt alternativ til egen server: JSP Enterprise hotel med adgang til
Enterprise Java Beans, egen Java Virtual Machine og egen IP-adresse
(giver mulighed for eget SSL-certifikat).
http://www.jsp-hotel.dk/
| |
Dennis Pedersen (14-03-2002)
| Kommentar Fra : Dennis Pedersen |
Dato : 14-03-02 14:35 |
|
"Jonathan Stein" <jstein@image.dk> wrote in message
news:3C90A486.FB258401@image.dk...
> Jeg sidder og eksperimenterer med en FreeBSD ver. 4.5, som jeg gerne
> ville have til at køre firewall og NAT-router.
>
> Det lykkedes mig at få ipfw til at virke inden jeg læste, at man skulle
> bygge en ny kerne! Er det stadig nødvendigt at lave en custom-kerne for
> at bruge firewall og NAT i ver. 4.5?
Ja.
Det er relatvit simpelt at gøre.
-Du instalrer sys src
-cd /usr/src/sys/i386/conf
-cp GENERIC FW
-ee FW
Tilføje følgende options:
options IPFIREWALL
options IPDIVERT
-config FW
-cd ../../COMPILE/FW
-make depend && make && make install
-Reboot og du har IPFW funktionalitet (hvis du ønsker at bruge DUMMYNET
(traficshaping) skal du blot tilføje options DUMMYNET
> I /etc/rc.conf har jeg bl.a.:
> kern_securelevel="2"
> kern_securelevel_enable="YES"
> firewall_enable="YES"
> firewall_type="open" (som test)
> gateway_enable="YES"
> natd_enable="YES"
> natd_interface="ed0" (ydersiden)
Jeg oplevet hvis man ikke har en -redirect_port på natd (blot til en ikke
eksisterende) så kan man løbe ind i det simpelthen ikke vil virke.
/Dennis
| |
Jonathan Stein (14-03-2002)
| Kommentar Fra : Jonathan Stein |
Dato : 14-03-02 16:53 |
|
Dennis Pedersen wrote:
> > Det lykkedes mig at få ipfw til at virke inden jeg læste, at man skulle
> > bygge en ny kerne! Er det stadig nødvendigt at lave en custom-kerne for
> > at bruge firewall og NAT i ver. 4.5?
>
> Ja.
Det lykkedes mig at komme så langt, så jeg efter "ipfw -f flush" intet
kunne på nettet. Med "ipfw add allow all from any to any" er der så fuld
adgang igen. natd kører også - men jegkan ikke få lov til at lave en "ipfw
add divert natd ...". Jeg får "Invalid argument".
- Er der forskel på rækkefølgen af "options" og øvrige indstillinger i
config-filen?
> Det er relatvit simpelt at gøre.
Tjo - desværre kommer den ikke helskindet gennem processen... Enten stopper
den i "make buildkernel" eller - som du har angivet nedenfor - i "make". Det
tager lidt tid at troubleshoote, da jeg bygger på en gammel 486.
M.v.h.
Jonathan
--
Nyt alternativ til egen server: JSP Enterprise hotel med adgang til
Enterprise Java Beans, egen Java Virtual Machine og egen IP-adresse
(giver mulighed for eget SSL-certifikat).
http://www.jsp-hotel.dk/
| |
Dennis Pedersen (14-03-2002)
| Kommentar Fra : Dennis Pedersen |
Dato : 14-03-02 16:51 |
|
"Jonathan Stein" <jstein@image.dk> wrote in message
news:3C90C771.E6922E59@image.dk...
> Dennis Pedersen wrote:
>
> > > Det lykkedes mig at få ipfw til at virke inden jeg læste, at man
skulle
> > > bygge en ny kerne! Er det stadig nødvendigt at lave en custom-kerne
for
> > > at bruge firewall og NAT i ver. 4.5?
> >
> > Ja.
>
> Det lykkedes mig at komme så langt, så jeg efter "ipfw -f flush" intet
> kunne på nettet. Med "ipfw add allow all from any to any" er der så fuld
> adgang igen. natd kører også - men jegkan ikke få lov til at lave en "ipfw
> add divert natd ...". Jeg får "Invalid argument".
/sbin/ipfw add divert natd all from any to any via ep1
F.eks
> - Er der forskel på rækkefølgen af "options" og øvrige indstillinger i
> config-filen?
Ikke jeg har bemærket..
> > Det er relatvit simpelt at gøre.
>
> Tjo - desværre kommer den ikke helskindet gennem processen... Enten
stopper
> den i "make buildkernel" eller - som du har angivet nedenfor - i "make".
Det
> tager lidt tid at troubleshoote, da jeg bygger på en gammel 486.
Hvad skriver den af linjer lige før den stopper?
/Dennis
| |
Jonathan Stein (15-03-2002)
| Kommentar Fra : Jonathan Stein |
Dato : 15-03-02 01:01 |
|
Dennis Pedersen wrote:
> > Det lykkedes mig at komme så langt, så jeg efter "ipfw -f flush" intet
> > kunne på nettet. Med "ipfw add allow all from any to any" er der så fuld
> > adgang igen. natd kører også - men jegkan ikke få lov til at lave en "ipfw
> > add divert natd ...". Jeg får "Invalid argument".
>
> /sbin/ipfw add divert natd all from any to any via ep1
Præcis (dog via ed0) - den giver fejl. Men det undrer mig, at firewallen
ellers ser ud til at fungere, selv om jeg ikke har bygget en ny kerne...
> > > Det er relatvit simpelt at gøre.
> >
> > Tjo - desværre kommer den ikke helskindet gennem processen... Enten
> stopper
> > den i "make buildkernel" eller - som du har angivet nedenfor - i "make". Det
>
> > tager lidt tid at troubleshoote, da jeg bygger på en gammel 486.
>
> Hvad skriver den af linjer lige før den stopper?
med "make buildkernel..." rebooter den uden at logge nogen fejl. ;-(
med "den gamle metode" (som den kaldes i håndbogen) dør c-compileren med en
fejl 11.
Næste forsøg bliver nok at at brænde en CD fra et ISO-image (p.t. har jeg
installeret source-filerne via FTP-faciliteten) eller builde på en anden
maskine. Jeg har ikke helt 100% tillid til testmaskinen.
M.v.h.
Jonathan
--
Nyt alternativ til egen server: JSP Enterprise hotel med adgang til
Enterprise Java Beans, egen Java Virtual Machine og egen IP-adresse
(giver mulighed for eget SSL-certifikat).
http://www.jsp-hotel.dk/
| |
Dennis Pedersen (15-03-2002)
| Kommentar Fra : Dennis Pedersen |
Dato : 15-03-02 08:51 |
|
"Jonathan Stein" <jstein@image.dk> wrote in message
news:3C9139C1.A687305F@image.dk...
> Dennis Pedersen wrote:
>
> > > Det lykkedes mig at komme så langt, så jeg efter "ipfw -f flush"
intet
> > > kunne på nettet. Med "ipfw add allow all from any to any" er der så
fuld
> > > adgang igen. natd kører også - men jegkan ikke få lov til at lave en
"ipfw
> > > add divert natd ...". Jeg får "Invalid argument".
> >
> > /sbin/ipfw add divert natd all from any to any via ep1
>
> Præcis (dog via ed0) - den giver fejl. Men det undrer mig, at firewallen
> ellers ser ud til at fungere, selv om jeg ikke har bygget en ny kerne...
Aaah
Det giver fejl fordi du ikke har IPDIVERT (natd) compilet ind i din kerne..
> > > > Det er relatvit simpelt at gøre.
> > >
> > > Tjo - desværre kommer den ikke helskindet gennem processen... Enten
> > stopper
> > > den i "make buildkernel" eller - som du har angivet nedenfor - i
"make". Det
> >
> > > tager lidt tid at troubleshoote, da jeg bygger på en gammel 486.
> >
> > Hvad skriver den af linjer lige før den stopper?
>
> med "make buildkernel..." rebooter den uden at logge nogen fejl. ;-(
Spændende..
Defekt hardware kan give mange sjove fejl..
/Dennis
| |
Jonathan Stein (18-03-2002)
| Kommentar Fra : Jonathan Stein |
Dato : 18-03-02 00:27 |
|
Dennis Pedersen wrote:
> Spændende..
> Defekt hardware kan give mange sjove fejl..
Tja... Jeg flyttede disken over i en anden maskine, og kompilerede kernen på 5
minutter. Derefter huskede jeg at tilføje IPFIREWALL og IPDIVERT options, så
efter godt 10 minutter havde jeg den rigtige kerne.
Tilbage i den gamle maskine havde jeg lidt problemer med at få den til at
sluge det ene netkort, men nu kører det!
M.v.h.
Jonathan
--
Nyt alternativ til egen server: JSP Enterprise hotel med adgang til
Enterprise Java Beans, egen Java Virtual Machine og egen IP-adresse
(giver mulighed for eget SSL-certifikat).
http://www.jsp-hotel.dk/
| |
Erling Bahnsen (15-03-2002)
| Kommentar Fra : Erling Bahnsen |
Dato : 15-03-02 10:23 |
|
> Men det undrer mig, at firewallen ellers ser ud til at fungere,
> selv om jeg ikke har bygget en ny kerne ...
Det er ganske elementært, når du skriver "firewall_enable="YES"" i
/etc/rc.conf, bliver den såmænd automatisk startet som modul ved
opstart. Så du behøver ikke at lave en ny kerne, blot skulle du
mangle muligheden for at logge hvad firewallen "fanger", så vidt
jeg har forstået.
Hvad du ellers kan starte som moduler kan du se i /modules/ Det er
ganske smart at man kan starte og stoppe forskellige moduler, når
man behøver dem, og ikke er tvunget til at lave en ny kerne, når
man lige skal prøve noget.
| |
Jonathan Stein (16-03-2002)
| Kommentar Fra : Jonathan Stein |
Dato : 16-03-02 00:12 |
|
Erling Bahnsen wrote:
> > Men det undrer mig, at firewallen ellers ser ud til at fungere,
> > selv om jeg ikke har bygget en ny kerne ...
>
> Det er ganske elementært, når du skriver "firewall_enable="YES"" i
> /etc/rc.conf, bliver den såmænd automatisk startet som modul ved
> opstart. Så du behøver ikke at lave en ny kerne, blot skulle du
> mangle muligheden for at logge hvad firewallen "fanger", så vidt
> jeg har forstået.
Ah - det forklarer jo meget godt hvorfor den del fungerede. - Men
noget tyder på, at jeg skal have lavet en ny kerne for at aktivere NAT?
M.v.h.
Jonathan
--
Nyt alternativ til egen server: JSP Enterprise hotel med adgang til
Enterprise Java Beans, egen Java Virtual Machine og egen IP-adresse
(giver mulighed for eget SSL-certifikat).
http://www.jsp-hotel.dk/
| |
Erling Bahnsen (16-03-2002)
| Kommentar Fra : Erling Bahnsen |
Dato : 16-03-02 13:09 |
|
On Sat, 16 Mar 2002 00:11:37 +0100, Jonathan Stein <jstein@image.dk> wrote:
> Ah - det forklarer jo meget godt hvorfor den del fungerede. - Men
> noget tyder på, at jeg skal have lavet en ny kerne for at aktivere NAT?
Hvis du bruger ppp til at komme på nettet, har denne en indbygget NAT,
som skulle kunne gøre det du ønsker.
Jeg har ikke selv haft tiden til, at sætte en firewall op, men benytter
selv "ppp -nat" i interaktiv mode med en "gammeldags" modem, og det
fungerer fint. ppp kan køre både i baggrunden eller helt automatisk,
alt efter hvad der ønskes.
Jeg læser selv grupperne: comp.unix.bsd.freebsd.misc og
mailing.freebsd.questions (den sidste er egentllig en mailingliste,
men kan hos TDC news-serveren læses). De indeholder en stor rigdom
af informationer, og jeg har (på en af de to, mener det var den første)
læst om en person med de samme overvejelser som dig, vedkommende
sluttede med at bruge ppp til NAT. Ulemperne ved de to lister, er at
de er på engelsk, men roder man lidt med systemet, kommer man aligevel
ikke udenom engelsk. En anden god mulighed er, at kigge lidt hos
www.bsd-dk.dk, og så er det tilmed på godt gammelt dansk.
| |
|
|