Re: Verständnisfrage

From: Martin Schulze (joey@infodrom.org)
Date: Mon Mar 04 2002 - 14:10:48 CET


Weerts, Christian wrote:
> Moin,
>
> ich habe mal eine kleine Verständnisfrage:
> Wenn ich einen Rechner aufsetze, der als Firewall fungieren soll, sollte
> doch ein route -n ca. so aussehen:
>
> Kernel IP Routentabelle
> Ziel Router Genmask Flags Metric Ref Use Iface
> 10.53.11.0 10.53.11.1 255.255.255.0 UG 0 0 0 eth1
> 10.53.11.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1

Wieso zwei Targets mit gleicher Metrik für 10.53.11.0?

> 10.53.191.0 10.53.191.2 255.255.255.0 UG 0 0 0 eth0
> 10.53.191.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0

Wieso zwei Targets mit gleicher Metrik für 10.53.191.0?

> 127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
> 0.0.0.0 10.53.191.1 0.0.0.0 UG 0 0 0 eth0

Die doppelten Targets dürften das Routing etwas durcheinanderbringen.

ENTWEDER routest Du ein Netzwerk (10.53.11.0 oder 10.53.191.0) direkt
auf eth0 (also Router 0.0.0.0) ODER Du routest das Netzwerk auf einen
Router (hier 10.53.11.1 bzw. 10.53.191.2). Allerdings muß der Router
ohne diese Regel bereits erreichbar sein (PING muß funktionieren).
Normalerweise befindet sich der Router dann im lokalen Netzwerk, so
daß Du z.B. folgende Situation hast:

Ziel Router Iface
10.10.11.0 0.0.0.0 eth0 # 10.10.11.0/24 ist lokales Netzwerk
10.53.11.0 10.10.11.1 eth0 # 10.53.11.0/24 über Router routen
10.53.191.0 10.10.11.2 eth0 # 10.53.191.0/24 über Router routen
0.0.0.0 10.10.11.3 eth0 # Default-Gateway ist 10.10.11.3

Oder

Ziel Router Iface
10.53.11.0 0.0.0.0 eth0 # 10.53.11.0/24 ist lokales Netzwerk für eth0
10.53.191.0 0.0.0.0 eth1 # 10.53.191.0/24 ist lokales Netzwerk für eth1
0.0.0.0 10.53.11.23 eth0 # Default-Gateway ist 10.53.11.23

> Die Meinung die hier vorherrscht, ist die, dass ein Gateway für eth0 und
> eth1 von der Firewallapplication (Firewall) gesetzt wird. Somit sollte ein
> route -n dann so aussehen:

???

Wenn die Firewall Regeln hat, daß Port 80 ausgehend *immer* über eth1
und nicht über eth0 rausgehen soll, dann muß sie die Ports
entsprechend umschreiben.

Für derartige Spielereien sind aber eher Proxies als Firewalls
zuständig. (wobei es im Fall eines Linux-Kernels die gleichen Befehle
mit ipfwadm/ipchains/iptables/netfilter wie auch für die Firewall sind.)

> Kernel IP Routentabelle
> Ziel Router Genmask Flags Metric Ref Use
> Iface
> 10.53.11.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
> 10.53.191.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
> 127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
> 0.0.0.0 10.53.191.1 0.0.0.0 UG 0 0 0 eth0

Sieht gut aus.

> Welche Einstellungen sind denn jetzt richtig? Ich sehe es so, dass die obere
> Lösung die richtige ist, da eine Firewall eigentlich ja "nur eine
> Filtersoftware" ist, die mit Routing nix am Hut hat.

Richtig. Das Routig muß so aufgesetzt sein, daß alle Pakete ohne
eingeschalteter Firewall korrekt geroutet werden. Erst wenn das der
Fall ist, kann/sollte damit begonnen werden, die Firewall aufzusetzen.

Gruesse,

        Joey

-- 
Unix is user friendly ...  It's just picky about its friends.



This archive was generated by hypermail 2.1.3 : Mon Mar 04 2002 - 14:12:12 CET