Firewall 2. Rechner

Firewall 2. Rechner (27 Beiträge, 18 Mal gelesen)

Du bist nicht angemeldet. [ Login/Registrieren ]

ICh spiele mit dem Gedanken einen alten PC als Firewall zu verwenden. Wie kann ich den anderen PC vor meinen jetzigen schalten und was installiert man da?

mfg mercer

welches os willst du verwenden, dem entsprechend muß du dann die Software auswählen!

MFG Mrhary

Im Prinzip recht einfach. Der alte Rechner bekommt den Internetanschluss, d.h. die Netzwerkkarte oder das Modem, je nachdem wie Du eben im Internet hängst.

Ausserdem bekommt er eine 2. Netzwerkkarte.

Der neue Rechner bekommt ebenfalls eine Netzwerkkarte. Diese wird mit der 2. Netzwerkkarte im alten Rechner über ein ausgekreuztes Patchkabel verbunden (Sofern Du es wünscht, kannst Du später auch weitere Rechner an diesen Firewall-Rechner per Switch anhängen).

Das ganze schaut dann in etwa so aus (NIC steht für Netzwerkkarte):

Internet --(modem oder NIC)-- Alter Rechner --(NIC)-- Neuer Rechner

Das is' mal die Hardware.

Softwaremässig würde ich Dir zu einem 1-disk-Linux System raten. Das klingt nun unheimlich kompliziert, ist es aber überhaupt nicht, da es inzwischen Systeme gibt, die Du ganz bequem und extrem simpel in Windows konfigurieren kannst. Du bekommst eine Konfigurationssoft, die im Prinzip ein wenig an ein Windows-installationsprogramm erinnert. Ein paar Dinge einstellen, Disk einlegen, ein bisserl warten, fertig. Zu downloaden unter http://www.coyotelinux.com/modules.php?name=Downloads&d_op=getit&lid=2

Die Disk legst dann, wenn's fertig konfiguriert ist (wenn's Probleme gibt, einfach nochmal posten) in das Disklaufwerk vom alten Rechner ein (der braucht übrigens keine Festplatte), starten, fertig.

____________________________________________
A computer virus should be considered a form of life,
but I think it says something about human nature, that
the only form of life we have created so far is purely
destructive. We've created life in our own image.

sag, geht das auch von cd-rom ?

sigkilled v1.0 (Sun Aug 25 12:28:33 2002): http://www.8ung.at/dr.ko/pug.ht1.gif had 29723 bytes)

Hmm. Im Prinzip nein, ausser Du baust die Disk kräftig um. Erstens wird im Standardkernel für diese Bootdisk kein CD-Rom Support drin sein, und ausserdem wirst ein paar Änderungen am ramdisk-code machen müssen.

Aber wozu der Aufwand?

____________________________________________
A computer virus should be considered a form of life,
but I think it says something about human nature, that
the only form of life we have created so far is purely
destructive. We've created life in our own image.

weil du bei fli4l mit einigen zusatzfunktionen schnell über 1,44 bist

sigkilled v1.0 (Sun Aug 25 12:28:33 2002): http://www.8ung.at/dr.ko/pug.ht1.gif had 29723 bytes)

Bei was bitte?

____________________________________________
A computer virus should be considered a form of life,
but I think it says something about human nature, that
the only form of life we have created so far is purely
destructive. We've created life in our own image.

http://www.fli4l.de/

sigkilled v1.0 (Sun Aug 25 12:28:33 2002): http://www.8ung.at/dr.ko/pug.ht1.gif had 29723 bytes)

Naja, rein prinzipiell konnte man die doch früher auch mit 1,72 MB formatieren...

Live long and prosper!
LoneTiger

Das Programm ist genial. Oder soll ich Distri sagen?

sigkilled v1.0 (Sun Aug 25 12:28:33 2002): http://mitglied.lycos.de/srv02/hpbimg/Vertex.jpg had 39613 bytes)

http://www.bbiagent.net

finde ich besser

mfg

chinaski

a man with one watch always knows what time it is, a man with two watches is never sure. samuel clemens

gibts mit bbiagent auch erfahrungen bei chello?
bei fli4l muß ich ein eigenes package für den dns-cache benutzen, der die rootserver abfragt, da chello anfragen auf port 53 nicht routet.
(und seit ich chello+ hab, gibt es sowieso dauernd troubles mit dem dhcp server)

lg tron
Windowsabstuerze gehoeren zu den Computern wie Autounfaelle zu den Strassen, ueber beides regt sich kaum noch einer auf.

>da chello anfragen auf port 53 nicht routet
häh

nicht ganz kapier...
wennst der chello dns-server auf einem "normalen" (nicht über router angeschlossen) rechner funktioniert, tut er dass mit (richtig konfiguriertem) router auch.

vielleicht ist das nur eine besonderheit des fli4l standard dns-cache, kann ich jetzt nicht sagen, dazu müßt ich mich in die doku einlesen, aber es stimmt, ich habs gecheckt.

ein kurzes statement findest du unter: http://www.fli4l.de/german/extern/opt/index.pl?pid=111

ist mir aber so wie es ist eh lieber, weil jetzt kann ich alle ports bis 1023 von außen sperren. sonst müßte ich 53,67,68 offenhalten

zusätzlicher vorteil ist, das ich die chello nameserver nicht brauch

in diesem zusammenhang: weiß jemand wer "prisoner.iana.org" ist?
scheint ein root-nameserver zu sein vermute ich mal.

--

Windowsabstuerze gehoeren zu den Computern wie Autounfaelle zu den Strassen, ueber beides regt sich kaum noch einer auf.

werd ich mir durchlesen und nachdenken, aber es gibt sicher eine möglichkeit...

die dns rootserver sind (alphabetisch fortgesetzt)
A.ROOT-SERVERS.NET
.
.
.
H.ROOT-SERVERS.NET

noch eine prinzipielle frage: ist auf deinen clients (die über den router ins internet gehn) als dns-server dein router oder der chello dns-server angegeben?

mein router ist mit seiner ip als dns und gateway in den clients eingetragen

irgendwas ist aber sowieso seltsam, da meine firewall oft anfragen an eine ip blockt, die nicht einmal zu meinem range gehört?!

schon das erste oktett ist anders (213 und ich hab 212)

--

Windowsabstuerze gehoeren zu den Computern wie Autounfaelle zu den Strassen, ueber beides regt sich kaum noch einer auf.

>da chello anfragen auf port 53 nicht routet
dann hab ich wahrscheinlich schon am anfang recht ghabt wie ich das bezweifelt hab.
zur erklärung: wenn auf deinen client der router als dns-server eingetragen ist dann übernimmt der dns-server deines routers die namensauflösung. wenn das mit chello nicht funktioniert dann liegt es an der konfiguration des dns-servers auf deinem router. in diesem fall wird aber nichts geroutet.
geroutet würde dann etwas wenn auf deinen clients als dns-server der chello dns-server eingetragen wird. in diesem fall hat dein router wirklich nur die aufgabe etwas zu routen.

so. hoffe es is nix unklar

>irgendwas ist aber sowieso seltsam, da meine firewall oft anfragen an eine ip blockt, die nicht einmal zu meinem range gehört?!
dass musst jetzt etwas genauer erläutern - ich nehm mal an du redest von der ipchains firewall auf dem router und nicht von einer personal firewall? wenn ja - sind es anfragen aus deinen lokalen netz oder aus dem internet? welcher port / welches protokoll? du könntest dir die pakete auch mit tcpdump genauer anschauen, und so vielleicht rausfinden um was es genau geht.

... konfiguration des dns-servers auf deinem router >
stimmt, du hast recht. nachdem ich wieder mal halbwegs ausgeschlafen bin hab ich nochmal nachgedacht. es dürfte mit dem quellport meines routers zusammenhängen, also konfiguration.

nehm mal an du redest von der ipchains >
yes sir, wir sprechen von ipchains. mit tcpdump hab ich das problem, das ich einen one-disk router hab (http://www.fli4l.de ) und erst eine neue configuration machen muß, damit ichs überhaupt auf die disk krieg, aber die idee ist gut!
zur erläuterung:  es sind anfragen aus dem wan, port und protokoll wechseln, meistens aber tcp auf den well-known-ports oder sonstige bekannte, zb 20012 (vbox server).
bei den quelladressen hab ich momentan das problem, das mein logfile derzeit nur in einer ramdisk gespeichert wird und ich jetzt nur angaben machen kann, die ich mir auf irgendwelche zettel gekritzelt hab. sie dürften aber alle aus dem range von chello kommen, z.b. 213.46.xxx.xxx oder 213.47.xxx.xxx  -- mein range ist aber im bereich 212.186.xxx.xxx
die zieladresse lassen kein muster erkennen. ich vermute mal, das es scans sind und/oder ein routingfehler des providers oder es hat etwas mit subnetting zu tun, darüber weiß ich aber leider zu wenig.

ich will dich damit nicht über gebühr strapazieren, denn ich hab kein wirkliches problem damit, aber leider kenn ich kaum jemanden der mir eine qualifizierte auskunft geben kann. bin für jeden tip dankbar.

lg tron


--

Windowsabstuerze gehoeren zu den Computern wie Autounfaelle zu den Strassen, ueber beides regt sich kaum noch einer auf.

>erst eine neue configuration machen muß
tcpdump auf diskette kopieren und unter fli4l mounten

>ramdisk gespeichert wird
und mit telnet programm in irgendeinen editor rüberkopieren? dann brauchst das nicht per hand abschreiben *g*, mich würden halt nur examplarisch ein paar von abgewiesenen paketen interessieren, die aber möglichst genau und die zeitliche häufung wär auch interessang

>ich will dich damit nicht über gebühr strapazieren
geh, aber wo denn

>scans sind
hab davon ge*TRÖT* das sowas bei chello öfters auftritt (treten kann)

>denn ich hab kein wirkliches problem damit
ja, nur interessant wärs auf jedem fall, weil wer weiß vielleicht nützts einem ja mal was (wissen == gratis => sammeln

)

1.)tcpdump auf diskette kopieren und unter fli4l mounten>
schon geschehn, muß nur noch etws zeit haben um das zu checken.

2.)dann brauchst das nicht per hand...>
wofür hältst du mich

ich meinte nur das es nach dem ausschalten weg ist, weil ich den router über nacht immer abdreh. werds jetzt auf fdd speichern lassen zur dokumentation.

3.)gehört das sowas bei chello öfters auftritt >
öfter auftreten ist eine schwere untertreibung. in den abendstunden regelmäßig und am wochenende massiv. bin schon seit jahren chello-user und hab mich bereits so daran gewöhnt, das es mich gar nimmer interessiert wer das ist, außer er ist lästig. der rekord lag bei ca. 300 anfragen in 2minuten von ein und dem selben typ!!

4.)möglichst genau und die zeitliche häufung wär auch interessant>
zeitliche häufung siehe antwort punkt 3
möglichst genau: leider ein problem weil ich es nicht gespeichert hab und seit heute kommen sie nicht mehr. (dafür nurmehr tcp-anfragen auf port 0)intersessant ist in diesem zusammenhang, das der backbone wieder mal gewechselt hat, bis jetzt war es att.net seit heute ist es level3.net. sollte es wieder passieren meld ich mich bei dir.

5.)wissen == gratis => sammeln >
da dürften wir uns sehr ähnlich sein, wenn ich einen lotto6er machen würde wär ich die nächsten 3jahre nurmehr auf der uni und im wifi zu finden

lg tron

--

Windowsabstuerze gehoeren zu den Computern wie Autounfaelle zu den Strassen, ueber beides regt sich kaum noch einer auf.

>wofür hältst du mich
tut leid

, aber es passiert halt öfters dass man das einfachste übersieht ...

>öfter auftreten ist eine schwere untertreibung
>300 anfragen in 2minuten
so schlimm isses?

also wennst noch irgendwas näheres rauskriegst schick mir mal eine PM, bitte.

tut leid > geht klar, vielleicht hab ich mich schlecht ausgedrückt

so schlimm isses? > nicht immer, aber immer öfter

schick mir mal eine PM, bitte > ich bleib dran!

lg tron

--

Windowsabstuerze gehoeren zu den Computern wie Autounfaelle zu den Strassen, ueber beides regt sich kaum noch einer auf.

warum cdrom wenn ein disk lw viel billiger und einfacher ist?
von disk startenden programmen auf linux basierend sind oft auf der linux dcd auch drauf hab ich gelesen!
und hier wurde es schon sehr oft gepostet!
Danke
T.

Und äh wie sieht es mit der Firewall aus oder ist es das dann schon mit dem 1 Disk system?? Gibts dazu irgendwas nachzulesen???

Ist meines Wissens dabei, muss nur noch konfiguriert werden. Sollte sich aber auf http://www.coyotelinux.com finden lassen.

____________________________________________
A computer virus should be considered a form of life,
but I think it says something about human nature, that
the only form of life we have created so far is purely
destructive. We've created life in our own image.

Mir wird hier schon wieder zu schnell mit irgenwelchen Programmen und Distributionen herumgeworfen.

Zuerst bedarf es einiges an Überlegung. Was für Dienste willst du anbieten? Welche nutzen?
Welche Sicherheitslücken sind in diesen Diensten systembedingt zu erwarten?
Welche muss ich aus Conveniencegründen in Kauf nehmen? Welche kann ich durch welche Technik ausschließen?

Dann kann ich anfangen nach Lösungen zu suchen, die genau die gestellten Anforderungen erfüllen.

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung