IPFire

IPFire - Ping von Blue nach Green und zurück

03. April 2012 · Anwendungen · andreas · 1 Kommentar

Auch wenn bei IPFire die “DMZ-Schlupflöcher” und “Zugriff auf Blau” gepflegt sind, ist ein Ping weder von Blue nach Green noch umgekehrt möglich, wie auch die entsprechende Seite der Dokumentation beschreibt:

Trotz der Öffnung aller Ports werden Pings (ICMP) NICHT durchgelassen. Pingen vom WLAN ins LAN und umgekehrt wird also nicht funktionieren. Will man trotzdem pingen können, muss dafür eigens eine IPTABLES Regel von blau nach grün und umgekehrt erstellt werden.

Die Regeln können entweder temporär an der Kommandozeile eingegeben oder in der Datei “/etc/sysconfig/firewall.local” hinterlegt werden, zwei Zeilen reichen:

/sbin/iptables -A CUSTOMFORWARD -i blue0 -o green0 -p icmp -j ACCEPT /sbin/iptables -A CUSTOMFORWARD -i green0 -o blue0 -p icmp -j ACCEPT

Zum Dekativieren reicht die erneute Eingabe der obigen Zeile, wobei der Parameter “-A” (= Add) durch “-D” (=Delete) zu ersetzen ist.


Erweiterte Konfiguration von IPFire

04. Juli 2011 · Anwendungen · andreas · 3 Kommentare

Als kleine, zuverlässige und einfach zu konfigurierende Firewall die auch einem schon betagten Rechner nochmal zu Amt und Würde verhilft, ist IPFire eine gute Wahl.

Leider hat die auf den ersten Blick einfache Konfiguration den Nachteil, daß manche Szenarien über die Oberfläche nicht abgebildet werden können, weil für die gewünschte Funktionalität keine entsprechenden Konfigurationsdialoge zur Verfügung stehen.

In diesem Fall können die Einstellungen der Firewall aber mittels SSH-Zugang in der Datei “/etc/sysconfig/firewall.local” vorgenommen werden.

Zugriff von rot auf grün anhand der IP-Adressen

Den Zugriff eines Rechners aus dem roten Netz auf einen Rechner im grünen Netz kann normalerweise mittels Portforwarding erledigt werden. In der Oberfläche ist es allerdings nicht möglich, den Quell- oder Zielport für verschiedene IP-Adressen mehrfach zu vergeben, so daß das Szenario, daß ein Rechner aus dem roten Netz auf den gleichen Port auf mehreren Rechnern im grünen Netz zugreifen darf, nicht konfigurierbar ist.

Die Zuweisung über die “firewall.local” kann wie folgt vorgenommen werden

/sbin/iptables -A CUSTOMFORWARD -s <Quell-IP> -d <Ziel-IP> -i red0 -o green0 -j ACCEPT

eine Einschränkung der Ports ist über die Parameter “–sport <Quell-Port(s)>” sowie “–dport <Ziel-Port(s)” möglich, bei denen als Werte entweder ein einzelner Port oder ein Bereich angegeben werden kann.

Nach außen ursprüngliche IP beibehalten

Da NAT ein integraler Bestandteil von IPFire ist, kann diese(s) auch nicht abgeschaltet werden. Es besteht aber die Möglichkeit, einem Paket nach Behandlung durch IPFire wieder seine ursprüngliche Quell-IP zuzuweisen:

/sbin/iptables -t nat -I CUSTOMPOSTROUTING -p all -s <Quell-IP> -j SNAT --to-source <Quell-IP>

Für jede Regel, die im Bereich “start” der “firewall.local” eingetragen wird, sollte eine zugehörige Lösch-Regel im Bereich “stop” hinterlegt werdem.

Einen guten Einstieg in das Thema “iptables” bietet das “IPTABLES HOWTO” von Dirk Bender, etwas ausführlicher ist “Linux Firewalls Using iptables” von Linux Home Networking.