Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
user01@tunix:/etc > /sbin/route -n<br />
Kernel IP routing table<br />
Destination Gateway Genmask Flags Metric Ref Use<br />
Iface<br />
10.0.0.0 0.0.0.0 255.255.255.0 U 0 0 6 eth0<br />
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 1 lo<br />
Hier sieht man, daß alle Pakete unserer Ethernetkarte eth0 an die Netzwerkadresse<br />
10.0.0.0 geb<strong>und</strong>en sind, mit einer Netmask 255.255.255.0. Dies bedeutet, daß der Host<br />
nun mit 252 anderen Hosts verb<strong>und</strong>en werden kann, also von 10.0.0.2 bis 10.0.0.254. Die<br />
Nummer 10.0.0.255 ist per Definition als Broadcast Adresse (siehe oben) eingetragen.<br />
Das LOOPBACK Interface bindet sich an die interne Netzwerkadresse 127.0.0.0.<br />
Es hat also alles seine Ordnung. Im Übrigen besitzen auch Windows 95 <strong>und</strong> viele andere<br />
Betriebssysteme ein solches: Man muß nur in der DOS-Shell einmal route -print, oder<br />
ipconfig oder netstat eintippen, es funktioniert ebenso. Sogar die Datei c:\\windows\etc<br />
hat unter Windows eine Funktion. Bestimmte IP - Nummern sind allerdings reserviert <strong>und</strong><br />
dürfen nicht ohne genaue Kenntnis vergeben werden:<br />
224.0.0.0 <strong>für</strong> Multicast, also Videoübertragungen<br />
10.0.0.0 <strong>und</strong> 192.168.0.0 <strong>für</strong> eigene Netzwerke. Diese werden nicht in das Internet<br />
weitergeleitet.<br />
255.255.255.255 <strong>für</strong> allgemeine Broadcasts<br />
127.0.0.0 <strong>für</strong> LOOPBACK<br />
Nun <strong>zurück</strong> zum Paket forwarding<br />
Der Befehl: ipfwadm -F -p deny untersagt die Weiterleitung von Paketen zwischen allen<br />
Interfaces. Genaugenommen sind es nun drei Interfaces, eth0 der ersten Netzwerkkarte,<br />
eth1 der zweiten Netzwerkkarte <strong>und</strong> lo, dem Loopback Interface. Eventuell kommt noch<br />
eine ISDN-Karte hinzu, diese belegt das Interface ippp0 <strong>für</strong> ISDN Kanal 1, oder ippp1, <strong>für</strong><br />
den 2. ISDN-Kanal. Das wären 5 Interfaces. Nun, der Name UNIX kommt nicht von<br />
irgendwo, er leitet sich aus UNICS ab, einem UNIversal Computer System. Später wurden<br />
nur CS zu X verschmolzen. Linus Torwalds ist genau auf demselben Wege zu dem<br />
Namen <strong>LINUX</strong> gekommen ;-)<br />
Nun muß man sich entscheiden, <strong>und</strong> diesen Interfaces eine IP - Nummer zuweisen. Damit<br />
nicht alle Befehle immer wieder eingegeben werden müssen, schreiben wir diese in eine<br />
Skript - Datei. Damit das Skript allgemeingültig ist, werden ab hier Namen statt IP -<br />
Nummern eingeführt. Diese bezeichnen Variablennamen <strong>für</strong> die Abarbeitung in der BASH,<br />
der Standard Shell unter Linux. IP - Nummern sind schwer zu merken, <strong>und</strong> irgendwann<br />
hat man keinen Durchblick mehr, welche IP - Nummer <strong>und</strong> Netzwerknummer welchem<br />
Interface zugeordnet ist. Der Befehl set zeigt alle Variablen an. Der Befehl variable=wert<br />
weist einer Umgebungsvariablen einen Wert zu. Der Befehl echo echo ${variable} gibt<br />
den Wert der Variablen aus.<br />
Somit kann man gleich 3 Fliegen mit einer Klappe schlagen. Erstens kann man die<br />
Variablenzuweisungen zu Anfang in eine Datei schreiben, zweitens können wir den Code<br />
lesbar <strong>und</strong> verständlich gestalten, <strong>und</strong> drittens kann man nun ein allgemeingültiges Skript<br />
schreiben, in welches dann nur noch am Anfang die richtigen Netzwerk <strong>und</strong> IP - Adressen<br />
eingetragen werden müssen.<br />
Im folgenden Beispiel wird festgelegt, daß alle Dämonen oder Programme auf der <strong>Firewall</strong><br />
auf das loopback interface zugreifen können. Das ist insbesondere dann notwendig,<br />
wenn man z.B. mit Netscape auf den WWW-Server zugreifen können möchte.<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins