sslug-teknik team mailing list archive

[Hans Peter Palboel <c937161@xxxxxxxxxxxxxx>]

Hej Sslug,

Jeg er ved at sætte en firewall op, og jeg er løbet ind i nogle - for mig
- uoverstigelige problemer. Maskinen er en alm. PII med 128mb ram SCSI
samt 3 Realtek 8029 PCI combokort - dist. er RedHat 5.2. Al hardwaren
kører så vidt vides fint, og alle netkort bliver detekteret og drivere
load'et. 

Lidt topologi:

 +----------+       +----------------+        +-----------+
 |  router  |       |    firewall    |  +-----| C-server  |
 | *.*.*.65 |-------| eth0 *.*.*.66  |  |     | *.*.*.73  |
 +----------+       | eth1 *.*.*.72  |--+     +-----------+
                    | eth2 *.*.*.82  |--+
                    +----------------+  |     +-----------+
                                        |     | webserver |
                                        +-----| *.*.*.81  |
                                              +-----------+

Alle ip-numrene benytter subnetmasken 255.255.255.248

Det er meningen, at der skal være fri trafik mellem router og webserver på
port 80 og 21.

Trafik mellem router og C-server skal ske fra bestemte ip-numre på port
xxx.

Maskinen skal således fungere som filtering firewall uden masquerading.

Konfigureringen for f.eks. webserveren burde så kunne klares ved:

ipfwadm -I -p accept
ipfwadm -O -p accept

ipfwadm -F -f
ipfwadm -F -P tcp -b -a accept -S *.*.*.81/29 80 -D 0.0.0.0/0 80
ipfwadm -F -P tcp -b -a accept -S *.*.*.81/29 21 -D 0.0.0.0/0 21


Det ærgelige er, at det ikke virker en dyt. Og mærkeligt er det, at hvis
jeg giver -m som ekstra option, så kommer der hul. Det er bare ikke så
smart med en webserver, som er maskeret så ingen kan se den ;-)

Såå, alle I kloge net-folk - hvad har jeg overset/klokket i. Jeg har sat
en firewall op før, og har pløjet div. dok. og ipfwadm man-siden igennem
en zilion gange. 


Mvh
Hans Palbøl