firewall

[Rob]

nevite kde bych nasel jak pod Linuxem nastavit firewall a maskaradu? bude to 486ka s Linuxem, ktera bude pres jednu sitovku napojena na DHCP server od Mistralu a druha sitovka bude mit prvni adresu v lokalni siti, takze to bude takovej router pro dalsi dva pocitace v moji lokalni siti

[Jezevec]

No lepsi je nastavit NAT misto maskarady - funguje pres to snad vse a castecne se to chova i jako Firewall. NAT pusti do site pouze pakety, ktery z ni byly vyzadany. Jinak, jestli ti nejni anglictina na obtiz, tak staci projit MAN pages primo v LINUXu a je to tam popsany docela obstojne.

Jsou tam i naky priklady jak to nastavit.

[jedik]

Firewall-HOWTO(1-x) je snad prece v docich na kazde slusnejsi distribuci. Je tam toho dost. Ale radsi zapremyslej o tom Jezevcove navrhu....

[Paolo]

nevite kde bych nasel jak pod Linuxem nastavit firewall a maskaradu? bude to 486ka s Linuxem, ktera bude pres jednu sitovku napojena na DHCP server od Mistralu a druha sitovka bude mit prvni adresu v lokalni siti, takze to bude takovej router pro dalsi dva pocitace v moji lokalni siti

viz: http://www.root.cz/

http://www.root.cz/clanek.php4?id=980 - Stavíme firewall I.

http://www.root.cz/clanek.php4?id=990 - Stavíme firewall II.

http://www.root.cz/clanek.php4?id=995 - Stavíme firewall III.

[Rob]

mrknu na to, ten NAT byl mohl byt dobrej...

jinak neporadite mi jakej Linux na tu 486ku dat? mam tam jen 200MB disk a bude to slouzit jen jako router + firewall, takze tam nebude ani monitor

mozna RedHat 6.2 bez Xů?

[jedik]

Debian=max bezpecnost

[Rob]

jedik: super signatura ale stejne ji prectu

k7s5a Duron Spitfire 950 @950 (100/100) (Cheepo OC bios 1.02)
256 SDR RAM PC133MHz 2-7-2
Inno3D GF3 ti200 (175/400 @230/475)
Seagate 13.6GB 7200rpm ATA66

[jedik]

jedik: super signatura

dik, ja vim

[Marty]

Jedik se akorát neatlal s tím předělávat podpis ze starýho fóra a to nový interpretuje velikost písma jinak tohle je 1px písmo

[jedik]

spravne, spravne, a ted me este k tomu nemuze nikdo napadnout ze mam vely sign
Kdo chce ten si to precte...

[Glottis]

hehe odbornici na linux a site
pro upresneni NAT = masquerade. proboha to je to same. nat si to pojmenoval MS a maskarada zase tvurci tehle ficury pro linux.

jinak firewall a masq se bude jinak nastavovat na kernelech 2.2.x nez na 2.4.x. na prvnich jsou jen ipchains a na druhych i iptables ktere jsou lepsi.

pokud chces jen ten firewall, masq a router a linuxu moc nerozumis radsi si tam hod treba nejakou jednodisketovou distribuci jako treba freesco nebo jak se jmenuje. na 200MB hdd budes mit totiz celkem probem toho RH orezat aby ti funelo to co ma. a pokud nechce dalsi veci jako treba sambu, squid, ntp, ftp, http a dalsi veci stejne bude normal distribuce zbatecna. nehlede na to ze jednodisketove linux routry maj super nastavvovani pres web.

[Jezevec]

No ono to uplne to samy asi nejni - podle toho, jak to kdo chape. Ale to tady asi nema cenu resit.

[Jozko]

na 200 MB disk sa redhat NEDA nainstalovat [tusim ze uz ani 6.2], aj ked by sa po orezani pri expert install vosiel, vzdy vypise malo miesta -> t.j. riesenie je nainstalovat na velky disk a potom na maly skopirovat.
na maly router/fw pre malo kompov a dial-up by som pouzil radsej starsi 2.2.x kernel + ipchains + diald [jedoduchsie skonfigurovat pre dialon demand ako pppd, aj ked pppd + wvdial ako chat je the best]. ps. na 32 mb by som skusil rozbehnut aj squida ale ....

[Glottis]

jezevec a jak to chapes ty?

[hYpn0]

Ale dá se nainstalovat. Ja jsme taky kdysi měl 486 a 200 MB disk, v te dobe zrovna byl aktualni RH 5.1 nebo 5.2 ted uz presne nevim. Bez X Wind. to urcite pujde !!!

[Jozko]

nainstalovat NEPOJDE - jedna sa totiz o chybu anacondy, ale tyka sa len novsich verzii anacondy. inak, instalovat dneska 5.1 rh by bolo dost brutal odporucam radsej freebsd ak je standartnejsi hw [vojde sa do 100mb], pripadne debian [ten tento problem nema].
starymi distribuciami sa NEMA VYZNAM ZAOBERAT!.

[Rob]

tak uz to funguje, diky vsem za rady, nakonec jsem sel jednodussi cestou na nainstaloval jsem ten FreeSco router jak mi poradil Glottis (diky)

je to jednodisketova distribuce Linuxu ktera je prizpusobena a funguje specielne jako router, nastaveni je super jednoduche (skoro jako Windows) ma to pekne menu a da se to ovladat i pres dalsi PC v lokalni siti (zase pekna web. stranka)

facha to uplne super a dalsi vyhoda je, ze to cele bootuje z jedne diskety, takze jsem odpojil ten 200MB disk kterej na to byl puvodne pripraveny a ted je tu SUPER TICHE (ten disk byl nejhlucnejsi, vsak vite jak cvrkaly ty stare WDcka) zdroj je tam nejakej Low Noise takze cele to ma sotva 10 dB - proste bozi router

[Rob]

jinak nevite jak v tom FreeSco funguje firewall? chtel bych si s tim sam trochu pohrat, ale vypada to ze to dela opravdu vsechno samo, napise to jenom neco jako: Enabling NAT/ Firewalling services ... nebo neco v tom smyslu

takze to vypada ze tam jede i ta Maskarada a propousti to jen vyzadane pakety? mam pravdu nebo kecam blbosti?

[Jozko]

ak sa chces s niecom hrat tak si nainstaluj plnohodnotnu distro
co sa tyka maskarada vs. nat. ->
maskarada remapuje source port na port nad 60000, tym sa da aj rozpoznat, nat sa snazi zachovat source port. [cize je to takpovediac dokonalejsia verzia maskarady] nat means Network Address Translation. Funguje oboma smermi [SNAT, DNAT] t.j.
vnutorna siet -> router -> vonkajsok, ale aj smerom naopak
vonkajsia poziadavka na skutocne ip -> router -> vnutorna siet
router robi DNAT, cize napr. poziadavku na 62.168.93.223 premapuje na 10.0.0.15 [vnutrny zalozny http server ]
co sa tyka nastaveni fw. skus:
iptables -t NAT -L [nastavenie NAT]
iptables -L [ostatne nastavenia]
pre viac informacii:
http://iptables-tutorial.frozentux.n...-tutorial.html

[Glottis]

u toho freesca bych hledal spis v howto ipchais. ma totis pokud vim kernel rady 2.2 a tam iptables nejsou.

[hYpn0]

nainstalovat NEPOJDE - jedna sa totiz o chybu anacondy, ale tyka sa len novsich verzii anacondy. inak, instalovat dneska 5.1 rh by bolo dost brutal odporucam radsej freebsd ak je standartnejsi hw [vojde sa do 100mb], pripadne debian [ten tento problem nema].
starymi distribuciami sa NEMA VYZNAM ZAOBERAT!.

Souhlas hlavně s tím FreeBSD, geniální systém. Teď si sním doma hraji

[Drak]

A koukám že tu Glottis zmiňuje mnou používaný FREESCO.....mohu jen doporučit.

www.freesco.org

daj se do něj instalovat různé balíčky určené speciálně pro něj

Je velmi jednoduchý a umí i funkci BRIDGE.....

3 síťovky a 2 serial modemy

nevýhodou je absence FTP serveru....ale dá se doinstalovat za 5 minutek z netu.

[Drak]

u toho freesca bych hledal spis v howto ipchais. ma totis pokud vim kernel rady 2.2 a tam iptables nejsou.

no jinak Freesco má jádro verze 2.0.38 takže ani to ani ono, musíš si upravit ten firewall script, ale upřímě řečeno za skoro rok co Freesco používám nebylo třeba....je to fakt dobře udělaná minidistribuce

[Glottis]

hehehehe tak dokonce 2.0.x no jo ale hlavne ze to bezi, top je hlavni.

[Jezevec]

co sa tyka maskarada vs. nat. ->
maskarada remapuje source port na port nad 60000, tym sa da aj rozpoznat, nat sa snazi zachovat source port. [cize je to takpovediac dokonalejsia verzia maskarady] nat means Network Address Translation. Funguje oboma smermi [SNAT, DNAT] t.j.
vnutorna siet -> router -> vonkajsok, ale aj smerom naopak
vonkajsia poziadavka na skutocne ip -> router -> vnutorna siet
router robi DNAT, cize napr. poziadavku na 62.168.93.223 premapuje na 10.0.0.15 [vnutrny zalozny http server ]

jj dik. Jeste pro upresneni. NAT neumi dynamicky prideleny IP - treba modem. Tam se musi pouzit maskarada. Naopak NAT narozdil od masq. umi vice IP - treba je prideleno 8 IP a v siti je 30 PC, tak tech 8 IP bude rovnomerne rozdelovat.