Heimnetzwerke - WIFI, LAN, Router und Co 16.539 Themen, 81.405 Beiträge

Verfolgung starten Optionen

problem mit nachträglicher firewall.

xafford / 10 Antworten / Baumansicht Nickles

ich sitze gerade vor einem kleinen problem. ich habe ein firmennetzwerk mit ca. 40 NT rechnern, alle mit öffentlicher IP und via standleitung angebunden. bisher hängen die rechner über einen router direkt an der standleitung. jetzt sollte natürlich nachträglich zwischen router und den ersten switch eine firewall, da ich die NT-kisten nicht weiter offen im netz hängen lassen will, wundert mich eh, daß das so lange gut ging. es gibt dabei aber ein problem, ich soll möglichst an den clients die netzwerkeinstellungen (inklusive gateway und subnetmaske) alles so belassen, wie es ist und am router kann ich nichts ändern, da der letzte admin die zugangsdaten mit ins grab genommen hat. ergo sieht das ganze so aus, daß ich eine art firewall in form einer bridge brauche. da ich bisher meie firealls immer als router konfigureirt habe habe ich gewisse technische probleme mit der umsetzung. aber erst einmal die details.
alle clients haben wie erwähnt öffentliche IPs
XXX.XXX.XXX.1-40 (sind im dns eingetragen)
einige zusätzliche rechner haben die IPs.
XXX.XXX.XXX.41-80 (nicht im DNS eingetragen und werden nicht vom provider geroutet)
gateway (der bisherige router) hat XXX.XXX.XXX.254
subnetmaske ist die 255.255.255.0
eigentlich schwebte mit subnetting mit SNAT für die nicht im DNS eingetragenen rechner vor, in der form:
XXX.XXX.XXX.1-40 geht auf die firewall an der XXX.XXX.XXX.126 ohne NAT
XXX.XXX.XXX.4-80 geht an die XXX.XXX.XXX.126 mit NAT
und bei allen liegt die subnetmaske auf 255.255.255.128 und der default gateway eben auf der XXX.XXX.XXX.126.
das 2. interface der fw hat dann die XXX.XXX.XXX.130 und der router bleibt auf der XXX.XXX.XXX.254.
da kam mir dann leider die direktive dazwischen, daß an den clients nichts geändert werden soll (fragt mich blos nicht warum).
jetzt brauche ich eine lösung, in der die fw als bridge fungiert, habe da aber leider nichts out-of-the-box zu gefunden. ich tendiere, wie üblich zu mandrake mit einer shorewall oder einer bastille wall.
wie sähe denn genau die konfiguration aus und geht das überhaupt in der form?

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
hasw xafford „problem mit nachträglicher firewall.“
Optionen

Hmm, dass koennte mit der 'Frame Diverter' Funktion funktionieren:

http://diverter.sourceforge.net/
oder
http://perso.wanadoo.fr/magpie/EtherDivert.html

iptables duerfte auch noch anwendbar sein, d.h. du kannst bestimmte Pakete die am ext. Interface ankommen, verwerfen.

Ich glaube allerdings das man iptable-rules auch in Verbindung mit einer 'normalen' Linux-Bridge benutzen kann, d.h. Pakete werden nicht gezwungenermassen gebridget, sondern koennen auch verworfen werden.

Die Machbarkeitsstudie darfst du allerdings durchfuehren ;-)

bei Antwort benachrichtigen
xafford hasw „Hmm, dass koennte mit der Frame Diverter Funktion funktionieren:...“
Optionen

merci für den tipp, habe aber schon die lösung gefunden, hatte eigentlich alles so weit schon gestimmt, ich hätte vielleicht nur vorher schon auf die idee kommen können, die karten in den promicuous mode zu schalten ;o)

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
Gurus xafford „merci für den tipp, habe aber schon die lösung gefunden, hatte eigentlich...“
Optionen

Hallo,
aber werden dann einem "Sniffer" nicht Tür und Tor geöffnet?

MfG
Gurus

bei Antwort benachrichtigen
xafford Gurus „Hallo, aber werden dann einem Sniffer nicht Tür und Tor geöffnet? MfG Gurus“
Optionen

nein.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
Gurus xafford „nein.“
Optionen

danke

bei Antwort benachrichtigen
xafford Gurus „danke“
Optionen

bitte...oder wolltest du auch eine erklärung warum?

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
Gurus xafford „bitte...oder wolltest du auch eine erklärung warum?“
Optionen

nur wenn Du Lust und Zeit hast..
ansonsten lerne ich immer gerne dazu

bei Antwort benachrichtigen
hasw Gurus „nur wenn Du Lust und Zeit hast.. ansonsten lerne ich immer gerne dazu“
Optionen

Um einen Sniffer auf dem Rechner zum laufen zu bekommen braucht man root-Rechte. Und wenn man die hat kann man die Karte natuerlich auch in den Promisc. Mode schalten...

Is also egal ob sie schon im Promisc. Mode ist oder nicht ;-)

bei Antwort benachrichtigen
xafford Gurus „nur wenn Du Lust und Zeit hast.. ansonsten lerne ich immer gerne dazu“
Optionen

hasw hat es eigentlich schon ziemlich gut erklärt. die tatsache, daß eine netzwerkkarte im promicuous mode operiert erleichtert oder erschwert es einem sniffer in keinster weise zu sniffen. wenn ein programm zugriff auch /proc/net haben will, dann braucht es höhere rechte (root) und wenn es diese hat, so kann es die karte problemlos selbst mit ifconfig ethX promisc ein den modus umschalten. aber ein sniffer an sich ist mehr oder minder auch eher ein normales tool zur netzwerkanalyse und muß nicht unbedingt auf den promicuous mode setzen. daß man damit auch kennworte und anderes erschnüffeln kann ist eher ein nebeneffekt.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
Gurus xafford „hasw hat es eigentlich schon ziemlich gut erklärt. die tatsache, daß eine...“
Optionen

Hallo,
noch mal danke, Ihr habt meine Unstimmigkeiten ausgeräumt.


MfG
Gurus

bei Antwort benachrichtigen