Masquerading mit Linux
Transparente Proxies
Die gezeigten Regeln für transparentes Maskieren reichen manchmal nicht aus. Hin und wieder wollen Administratoren die Erreichbarkeit eines externen Servers per Ping oder ICMP-Traceroute testen. Der tracert.exe bei Windows benutzt automatisch ICMP, unter Linux hilft meist (distributionsabhängig) der Schalter "-I". Folgende Regeln erlauben dies:
Code
1
# Ping und Traceroute von intern via Masquerading
2
ipchains -A input -i eth0 -p icmp -s 192.168.1.0/24 -d ! 192.168.1.0/24 --icmp-type echo-request -j ACCEPT
3
ipchains -A forward -i ppp0 -p icmp -s 192.168.1.0/24 --icmp-type echo-request -j MASQ
4
ipchains -A output -i ppp0 -p icmp --icmp-type echo-request -j ACCEPT
5
# Antwortpakete
6
ipchains -A input -i ppp0 -p icmp --icmp-type echo-reply -j ACCEPT
7
ipchains -A input -i ppp0 -p icmp --icmp-type time-exceeded -j ACCEPT
8
ipchains -A input -i ppp0 -p icmp --icmp-type host-unreachable -j ACCEPT
9
ipchains -A input -i ppp0 -p icmp --icmp-type network-unreachable -j ACCEPT
10
ipchains -A output -i eth0 -p icmp -d 192.168.1.0/24 --icmp-type echo-reply -j ACCEPT
11
ipchains -A output -i eth0 -p icmp -d 192.168.1.0/24 --icmp-type time-exceeded -j ACCEPT
12
ipchains -A output -i eth0 -p icmp -d 192.168.1.0/24 --icmp-type host-unreachable -j ACCEPT
13
ipchains -A output -i eth0 -p icmp -d 192.168.1.0/24 --icmp-type network-unreachable -j ACCEPT
Den Traceroute via UDP sollten Sie aus Sicherheitsgründen nicht freischalten, da solche Pakete schwerer mit statischen Paketfiltern zu kontrollieren sind.
Inhalt dieses Artikels
Mehr zum Thema
Links zum Artikel
Linux als Firewall Linux bietet von Haus aus alle notwendigen Komponenten für eine Paketfilter-Firewall. Bevor Sie jedoch eine Firewall aufsetzen ...
Links zum Thema
Meinungen zu diesem Artikel (1 von 1)
nixos
01.04.06 18:22
Masquerading mit Linux
:eek: is schön und gut aber wie finden die daten zurück ins eigene netzwerk ? routing table verände
