Re: pppoe

Saitov Menuhin <menuhin(at)web.de> wrote:
> [Oliver Fromme schrieb:]
> > Nein -- ipdivert braucht man nur, wenn man ipfw + natd zum
> > NATten verwenden mvchte. Das kann man nat|rlich tun, wenn
> > man will, aber in den meisten typischen Fdllen d|rfte das
> > eingebaute NAT des ppp(8) vollkommen gen|gen. Dazu braucht
> > man _kein_ ipdivert.
> >
> > Mal ganz davon abgesehen, da_ man mvglicherweise |berhaupt
> > kein NAT benvtigt: Wenn man nur mit einem einzelnen Rech-
> > ner ins Internet will (nicht mit einem ganzen lokalen Netz-
> > werk), braucht man nat|rlich kein NAT. Oder wenn man zwar
> > ein lokales Netz hat, dieses aber nicht geroutet werden mu_
> > (weil man Proxies oder Gateways verwendet, die auf dem Ein-
> > wahlrechner laufen), braucht man kein NAT. Eine solche Lv-
> > sung hat auch sicherheitstechnisch Vorteile.
>
> das heisst wenn ich keine firewall mache dann brauch ich in
> /etc/rc.conf den natd zu aktiviren und die netgraph module
> zu laden?

ppp(8) lädt die erforderlichen netgraph-Module automatisch;
Du brauchst das nicht selbst zu tun. Einen Paketfilter
solltest Du unbedingt verwenden -- entweder den in ppp(8)
eingebauten, oder einen der zum System gehörigen: ipfw, pf
oder -- mit Einschränkungen -- ipfilter.

Ich empfehle Dir, das Kapitel »PPP over Ethernet (PPPoE)«
im FreeBSD-Handbook durchzulesen. Dort wird alles ausführ-
lich beschrieben. Die ppp(8)-Manpage enthält weitere In-
formationen.

Um mal ein ganz konkretes Beispiel anzugeben: Folgendes
kommt in die /etc/rc.conf für einen Einwahlrechner, der
Routen und NATten soll (wie gesagt, dies ist nicht unbe-
dingt das beste Design):

        ppp_enable="YES"
        ppp_mode="ddial"
        ppp_nat="YES"
        ppp_profile="myprofile"
        gateway_enable="YES"

Und in /etc/ppp/ppp.conf:

        myprofile:
          set ifaddr 10.0.0.1/0 10.0.0.2/0
          set device PPPoE:rl0
          set authname XXX
          set authkey YYY
          set dial
          set login
          add default HISADDR
          enable dns
          resolv writable

Statt »rl0« mußt Du Dein Interface angeben, wo das PPPoE
ankommt. XXX und YYY sind ID und Paßwort, die Du von Dei-
nem Provider bekommst. Obiges habe ich 1:1 von einem
Einwahlrechner mit 4-stable kopiert; unter 5.x könnten
ein paar Details abweichen. Ein Blick in defaults/rc.conf
und in die betreffenden manpages schadet gewiß nicht.

Wie gesagt: Du solltest zusätzlich noch einen Paketfilter
konfigurieren (ich verwende ipfw, aber das kann man machen
wie man will). Außerdem kann es sinnvoll sein, einen eige-
nen Nameserver (BIND) laufen zu lassen, vielleicht auch
einen Webproxy o.ä.

Wenn möglich, sollte man aber versuchen, auf IP-Forwarding
und NAT zu verzichten. Dadurch ist das interne Netz besser
abgesichert, die Paketfilterkonfiguration vereinfacht sich
deutlich (d.h. es schleichen sich auch nicht so leicht Feh-
ler ein), und Du hast eine bessere Kontrolle über den Netz-
werkverkehr zwischen innen und außen. Auch im Falle einer
Kompromittierung (wenn sich z.B. ein interner Windows-
Rechner einen Trojaner einfängt), hält sich der Schaden in
engeren Grenzen und beeinträchtigt meist nur den betroffe-
nen Rechner selbst.

Gruß
   Olli

-- 
Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
We're sysadmins.  To us, data is a protocol-overhead.
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message