Re: ipfw und wechselnde IP

From: Oliver Fromme <olli(at)secnetix.de>
Date: Tue, 14 Aug 2001 10:49:18 +0200 (CEST)

Martin Welk <mw(at)theatre.sax.de> wrote:
> On Sun, Aug 12, 2001 at 06:40:19PM +0200, Clemens Hermann wrote:
> Würde es genügen, das Interface (welches immer das gleiche bleibt) zu
> verwenden (in/out via isp[n])?

Das genügt nicht unbedingt; es wäre ja durchaus sinnvoll,
beispielsweise Pakete zu filtern, die von außen kommen und
für eine andere IP als die eigene bestimmt sind. Oder
herausgehende Pakete zu erden, die als Absender nicht die
eigene IP haben, so daß interner Traffic nicht gleich raus-
geht, wenn etwa mit der NAT etwas nicht in Ordnung ist.
Man ist ja paranoid. ;-)

Zunächst würde ich versuchen, das Filtern dem ppp(8) zu
überlassen, was in vielen Fällen ausreichen dürfte. In den
Filterregeln von ppp(8) kann man MYADDR und HISADDR verwen-
den, um die IP-Adresse der eigenen bzw. der Gegenseite an-
zugeben.

Falls das nicht reicht: ipfw bietet die Möglichkeit, einen
Präprozessor zu verwenden. Man könnte da z.B. den cpp ver-
wenden (C-Präprozessor) und in den Regeln MYADRR schreiben.
Die IP-Adresse bekommt man dann mit einem Shell-Schnipsel
heraus:

   MYADDR=`ifconfig tun0 | awk '($1=="inet"){print $2}'`

(awk ist robuster als die Variante mit cut, da das nicht
sofort in die Hose geht, wenn sich irgendwo das Spacing
o.ä. ändert.) ipfw wird danach wie folgt aufgerufen:

   ipfw -p /usr/bin/cpp -D MYADDR=$MYADDR ...

Siehe die entsprechenden manpages für mehr Infos.

Gruß
   Olli

-- 
Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
"All that we see or seem is just a dream within a dream" (E. A. Poe)
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Tue 14 Aug 2001 - 10:49:22 CEST

search this site