sslug-teknik team mailing list archive

Thread
Date

Re: Firewall problemer

To: sslug-teknik@xxxxxxxx
From: Juri Jensen <juri_j@xxxxxxxxxx>
Date: Thu, 18 Feb 1999 23:02:57 +0100
Delivered-to: mailing list sslug-teknik@xxxxxxxx
In-reply-to: <Pine.SGI.3.95.990218114454.7670B-100000@sgi01.bbar.dtu.dk>
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm
Reply-to: sslug-teknik@xxxxxxxx

Hej Hans


Så vidt jeg kan se, har du problemer med din host-opløsning. På grund af
den subnet-maske du anvender, har eth1 på firewall'en (*.*.*.72)  fået
netværkets adresse (host-adresse 0 når det er opløst - hvilket ikke er
tilladt). Prøv at ændre det til adresse *.*.*. 73 og C-serveren til adresse
*.*.*.74

Håber det funker.... ;-)

>Hej Sslug,
>
>Jeg er ved at sætte en firewall op, og jeg er løbet ind i nogle - for mig
>- uoverstigelige problemer. Maskinen er en alm. PII med 128mb ram SCSI
>samt 3 Realtek 8029 PCI combokort - dist. er RedHat 5.2. Al hardwaren
>kører så vidt vides fint, og alle netkort bliver detekteret og drivere
>load'et.
>
>Lidt topologi:
>
> +----------+       +----------------+        +-----------+
> |  router  |       |    firewall    |  +-----| C-server  |
> | *.*.*.65 |-------| eth0 *.*.*.66  |  |     | *.*.*.73  |
> +----------+       | eth1 *.*.*.72  |--+     +-----------+
>                    | eth2 *.*.*.82  |--+
>                    +----------------+  |     +-----------+
>                                        |     | webserver |
>                                        +-----| *.*.*.81  |
>                                              +-----------+
>
>Alle ip-numrene benytter subnetmasken 255.255.255.248
>
>Det er meningen, at der skal være fri trafik mellem router og webserver på
>port 80 og 21.
>
>Trafik mellem router og C-server skal ske fra bestemte ip-numre på port
>xxx.
>
>Maskinen skal således fungere som filtering firewall uden masquerading.
>
>Konfigureringen for f.eks. webserveren burde så kunne klares ved:
>
>ipfwadm -I -p accept
>ipfwadm -O -p accept
>
>ipfwadm -F -f
>ipfwadm -F -P tcp -b -a accept -S *.*.*.81/29 80 -D 0.0.0.0/0 80
>ipfwadm -F -P tcp -b -a accept -S *.*.*.81/29 21 -D 0.0.0.0/0 21
>
>
>Det ærgelige er, at det ikke virker en dyt. Og mærkeligt er det, at hvis
>jeg giver -m som ekstra option, så kommer der hul. Det er bare ikke så
>smart med en webserver, som er maskeret så ingen kan se den ;-)
>
>Såå, alle I kloge net-folk - hvad har jeg overset/klokket i. Jeg har sat
>en firewall op før, og har pløjet div. dok. og ipfwadm man-siden igennem
>en zilion gange.
>
>
>Mvh
>Hans Palbøl


mvh./Best regards
Juri





  Juri Jensen
--------------------------------------------------------
  Macintosh/Linux installation & administration
  Member of the worlds largest Linux User Group: SSLUG (www.sslug.dk)
  email: juri_j@xxxxxxxxxx/juri_j@xxxxxxxxx/lsys@xxxxxxxxxxxx
--------------------------------------------------------
  "Open Source: It's all about making software that doesn't suck!!"

                 		   --- Eric Raymond

References

Firewall problemer
From: Hans Peter Palboel, 1999-02-18