Re: Bridging oder NAT?

From: Oliver Fromme <olli(at)lurza.secnetix.de>
Date: Tue, 24 Feb 2004 09:34:08 +0100 (CET)



Werner Schalk <werner_schalk(at)gmx.de> wrote:


 > ich habe eine FreeBSD-Firewall und möchte nun alle eingehenden Anfragen (für 


 > alle Ports) möglichst transparent (keine Reduzierung der TTL etc.)



Folgendes in Deine Kernel-Config:



options  IPSTEALTH



Danach wie üblich neue Kernel backen (config, make depend,


make, make install, reboot).  Dann gibt es einen neuen


sysctl net.inet.ip.stealth mit Default 0.  Den setzt Du


auf 1 (z.B. per /etc/sysctl.conf).



 > auf einen 


 > internen Rechner umleiten, wobei ich zusätzliche Firewallregeln 


 > implementieren will. Getrennte Netzwerkkarte habe ich schon, nur meine Frage 


 > ist nun: Was muss ich dafür nehmen, Bridging oder NAT?



Ich vermute, Deine Frage ist eher »Bridging oder Routing«.


Auf einer Firewall wird man normalerweise kein Bridging


machen.  (Es mag aber durchaus Anwendungsfälle geben, wo


das Sinn machen würde.)



Du sprichst von _internen_ Rechnern, also werden die ja


vermutlich keine offiziellen IP-Adressen haben, also wirst


Du NAT brauchen, wenn Du durch den Firewall routen willst.



Alternativ kannst Du auch gar nicht forwarden o. bridgen,


sondern allen Verkehr über Proxies und Gateways auf dem


Firewall-Rechner abwickeln (zusätzlich zum Paketfilter).


Vom Sicherheitsaspekt wäre das besser, aber Deiner Be-


schreibung nach ist das nicht das, was Du möchtest.



Zum Filtern würde ich persönlich IPFilter (ipf) empfehlen,


d.h. für das NAT würdest Du dann ipnat verwenden.



 > Hat jemand eventuell 


 > eine passende Anleitung bzw. weiß jemand eine Website auf der ein solches 


 > Setup erläutert wird?



Das ist eigentlich ein Standard-Setup für einen Firewall;


dazu gibt es zahlreiche Beispiele und Dokus.  Guck Dir mal


die entsprechenden Abschnitte im FreeBSD-Handbook an.


Auf FreeBSDdiary u.ä. gibt's dazu auch mehrere Artikel.



Gruß


   Olli



-- 
Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
"Documentation is like sex; when it's good, it's very, very good,
and when it's bad, it's better than nothing."
        -- Dick Brandon
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message


Received on Tue 24 Feb 2004 - 09:41:52 CET













search this site