sslug-teknik team mailing list archive

[henrik@xxxxxxxxxx (Henrik St�)]

In <002d01c053c0$e4a022a0$ae3da8c0@xxxxxxxxxxx> "Claus Poulsen" <griznak@xxxxxxxxxxxxxxxxx> writes:

>jeg har en router med ip 195.181.234.1
>og et internt netv=E6rk med 195.181.234.x til 128
>hvilke ip adresser/gateways skal eth0 have og hvilke skal eth1 have.

Firewall'en skal sidde "mellem" din router og dit interne netværk.
Derfor skal de to netkort i firewall'en have IP adresser fra to
forskellige IP adresse-områder; ellers ved firewall'en jo ikke
hvilket af de to netværks-interfaces, den skal sende trafikken til.

De adresser du skriver lyder som rigtige IP adresser, altså sådan nogen
som du har fået af din Internet udbyder. Dem skal du KUN bruge på
det netkort i firewall'en, som er forbundet til routeren. Det andet
netkort i firewall'en (som er forbundet til dit interne netværk) skal
have en IP adresse fra et andet område - typisk bruger man et af de
reserverede IP områder (f.eks. 10.x.x.x) til sådanne formål.

Så eth0 mod routeren kan hedde 195.181.234.2, og eth1 mod det interne
netværk kan hedde 10.0.0.1

>Skal firewallen s=E6ttes op til at route pakker fra eth0 til eth1 for at =
>det virker og hvordan g=F8r man ?

Ja. Men ikke bare route dem - den skal lave masquerading, for de IP
adresser som systemerne på det interne netværk har - 10.x.x.x - kan
ikke umiddelbart bruges ude på Internettet. Så du skal enable masquerading
på firewall'en.

Kig på http://www.sslug.dk/sikkerhed/ hvor du finder eksempler på
firewall-scripts hvor du kan enable masquerading forholdsvis let.

>b=E6r over med mig det er min f=F8rste firewall :>
-- 
Henrik Storner      | "Crackers thrive on code secrecy. Cockcroaches breed 
<henrik@xxxxxxxxxx> |  in the dark. It's time to let the sunlight in."
                    |  
                    |          Eric S. Raymond, re. the Frontpage backdoor