sslug-teknik team mailing list archive

Thread
Date

Re: IPCHAINS

To: sslug-teknik@xxxxxxxx
From: "Klaus S. Madsen" <sslug@xxxxxxxxxxxxxxxx>
Date: Thu, 21 Jun 2001 18:08:52 +0200
Delivered-to: mailing list sslug-teknik@xxxxxxxx
In-reply-to: <20010621154705.57528.qmail@web12207.mail.yahoo.com>; from mads_jac@yahoo.dk on Thu, Jun 21, 2001 at 05:47:05PM +0200
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm
User-agent: Mutt/1.2.5i

On Thu, Jun 21, 2001 at 05:47:05PM +0200, Mads Jacobsen wrote:
> > ipmasqadm portfw -a -P tcp -L
> > adresse-paa-maskinen-der-skal-forwarde 80
> > -R adresse-paa-maskinen-der-skal-modtage 80
> 
> Gælder det også med den kerne jeg kører med (2.2.14)?
> Det troede jeg netop ikke det gjorde...
Det gaelder netop med 2.2 kerner. Paa 2.4 kerner kan det goeres
anderledens, men jeg ved ikke hvordan.
> > Maskinen data bliver forwardet til skal saa have
> > mulighed for at svare
> > direkte tilbage, dvs. til den ip-adresse der har
> > sendt requestet til
> > firewallen. 
> 
> Foregår det i firewall'en eller er det også i
> ipmasqadm?
Det goeres normalt ved at masqerade det interne netvaerk, saa det kan
tilgaa internettet.

> >Hvis du vil undgaa det, saa kan du bruge
> > rinetd istedet.
> 
> Hvad betyder det?
portfw modulet er lidt specielt. Naar det modtager en pakke, skifter den
modtager adressen ud, og derefter sender den pakken videre. Dvs. afsender
adressen er uaendret, saa naar den maskine som modtager pakken skal
svare sender den pakken tilbage den den maskine som kontaktede
firewallen. Det er ikke noget problem, hvis maskinen er masqeradet, for
saa soerger firewallen for at stemple pakken med sin egen adresse som
afsender, naar den passerer den. Hvis firewallen ikke goer det, vil der
gaa kludder i det hele.

Derfor kan man saa bruge rinetd, som er et usermode program, man
installerer paa firewallen. Det lytter saa paa port 80, og naar det
modtager en forbindelse paa den port, aabner den selv en forbindelse
vidre til web-serveren. Dvs. web-serveren tror bare at den snakker med
firewallen, saa den behoever ikke internet.

> > ipmasqadm-pakken er ikke med i alle distributioner,
> > men du kan nok godt
> > finde den paa rpmfind. Det kan ogsaa vaere at du
> > skal opgradere din
> > kerne, for at faa portfw modulet med.
> 
> Hvordan kan jeg tjekke, at jeg har de dele der skal
> bruges?
Proev at se om ipmasqadm programmet er installeret. Hvis det er det, saa
proev at saette reglen op. Hvis programmet brokker sig, kan du proeve at
skrive:

modprobe ip_masq_portfw

Hvis det gaar godt, skulle ipmasqadm virke. Ellers maa du faa oversat en
nyere kerne (noget jeg ville anbefale alligevel, eftersom der er nogle
sikkerhedshuller i 2.2.14, og dens VM sutter...).

-- 
/-----------------------------------------------------\
| Klaus S. Madsen      | "Failure is not an option... |
| ICQ: 45400164        |  It comes bundled with your  |
| www.hjernemadsen.org |  Microsoft products!"        |
\-----------------------------------------------------/

References

Re: IPCHAINS
From: Klaus S. Madsen, 2001-06-21
Re: IPCHAINS
From: Mads Jacobsen, 2001-06-21