linux-l: Hilfe bei Firewall-Regeln...
Johannes Walther
hannes at walther.in-berlin.de
So Jul 5 13:30:13 CEST 1998
Ihno Krumreich wrote:
>
> >
> > On Fri, Jul 03, 1998 at 11:12:49AM +0200, Ihno Krumreich wrote:
> > > Das ist die falsche Ansicht. Derjenige der private IP benutzt ist
> > > verantwortlich dafuer des die Nummern im Internet nicht zu sehen sind
> > > ( weder als Quelle noch als zieladresse). Ansonsten werden die Pakete
> > > ueber die default-Routen durchs ganze Netz geschickt.
> > >
> > oops ... unglaeubig ...
> >
> > test:
> > > traceroute 10.0.0.1
> > traceroute to 10.0.0.1 (10.0.0.1), 30 hops max, 40 byte packets
> > 1 pcx42.tfh-berlin.de (141.64.3.123) 175.664 ms * 190.029 ms
> > 2 htw7000.tfh-berlin.de (141.64.3.240) 129.840 ms 129.474 ms 129.834 ms
> > 3 GMD-Berlin1.WiN-IP.DFN.DE (188.1.1.9) 129.938 ms 129.501 ms 129.882 ms
> > 4 GMD-Berlin1.WiN-IP.DFN.DE (188.1.1.9) 119.677 ms !H * 130.057 ms !H
> >
> > default-routen sind nicht die beste wahl ... wieder was dazugelernt.
> >
> > wie umgeht man das verhalten ? dummy-routen fuer private-ipadressen ?
> > die default-route kann ich ja schlecht wegnehmen.
> >
> An der FH macht das der Cisco (man kann dort IP-Verbindungen abhaengig
> von Quelle und/oder Zieladresse sperren).
>
> Der Linux-Firewall kann das auch (bitte nicht fragen wie, habe nur bei einer
> Gelegenheit kurz hineingesehen und habe kein System bei der Hand).
ES sollte mit folgendem Eintrag gehen:
ipfwadm -O -a deny -S 10.0.0.0/8 -D 0.0.0.0/0 -P all
Damit soll nicht aus dem 10er (erreicht wirds durch die 8, was bedeutet
das die oberen 8 Bit stimmen müssen) Netz nach draussen.
Hannes
--
Johannes Walther <http://walther.in-berlin.de>
Mehr Informationen über die Mailingliste linux-l