Früher gab es den MOD Orange-As-Green (OAS) für den IPcop 1.3. Mit
diesem MOD konnte Orange (DMZ) als ein zweites Grünes Interface
benutzt werden. Der Zugriff zwischen Orange und Grün wurde komplett
geblockt (mithilfe von iptables Regeln) und Orange bekam voll Zugriff auf
den IPCop und auf Rot (Internet). Zusätzlich wurde die Proxy
Konfiguration geändert, sodass auch Orange den IPCop Proxy benutzen
konnte.
Bei IPCop 1.4.x gibt es jetzt das vierte Interface Blau. Der Proxy ist schon
von Haus aus für Blau verfügbar. Normalerweise müssen die PCs in Blau
explizit freigegeben werden. Sollen die PCs ohne explizite freigabe auf
IPCop und auf das Internet zugreifen dürfen (genauso wie bei OAS), kann
das mit zwei iptables Regeln erreicht werden:
Code:
/sbin/iptables -A CUSTOMFORWARD -i $BLUE_DEV -o ! $GREEN_DEV -j ACCEPT
/sbin/iptables -A CUSTOMINPUT -i $BLUE_DEV -j ACCEPT
Soll Grün
nicht auf Blau zugreifen dürfen (genauso wie in OAS),
kommt eine weitere dazu:
Code:
/sbin/iptables -A CUSTOMFORWARD -i $GREEN_DEV -o $BLUE_DEV -j DROP
ACHTUNG: Mit dieser Regel wird
jeder Traffic zwischen Grün und Blau gesperrt.
Es funktionieren auch keine DMZ-Pinholes (von Blau nach Grün) mehr!
Siehe auch "Optional: Die DMZ-Pinholes Regel" weiter unten.
OAS hat noch eine 4te Regel erstellt, die ist IHMO aber nicht notwendig:
Code:
/sbin/iptables -A CUSTOMFORWARD -i $BLUE_DEV -o $GREEN_DEV -j DROP
In den Regeln sind für die verschiedenen Interface Variablen verwendet.
Die Variablen kommen aus der Datei
/var/ipcop/ethernet/settings und sind in einem Skipt über folgendes Kommando verfügbar:
Code:
eval $(/usr/local/bin/readhash /var/ipcop/ethernet/settings)
Diese drei (bzw. vier) Regel gehören bei 1.4.x in die Datei
/etc/rc.d/rc.firewall.local,
und zwar in den "start" Bereich. Vor dem Erstellen der Regeln sollten noch
die CUSTOM* Chains gelöscht werden:
Code:
/sbin/iptables -F CUSTOMFORWARD
/sbin/iptables -F CUSTOMINPUT
Bevor die Kommandos in rc.firewall.local eingefügt werden, sollte geprüft
werden, ob das reload Target vorhanden ist und bei Bedarf eingefügt
werden.
Weitere Infos zum reload Target (Problem) siehe hierDie fertige rc.firewall.local (mit reload Target) sieht dann so aus:
Code:
#!/bin/sh
# Used for private firewall rules
# Variablen lesen
eval $(/usr/local/bin/readhash /var/ipcop/ethernet/settings)
# See how we were called.
case "$1" in
start)
## add your 'start' rules here
# erstmal die die Chains leeren
/sbin/iptables -F CUSTOMFORWARD
/sbin/iptables -F CUSTOMINPUT
# Zugriff Blau -> IPcop und Blau -> Internet/DMZ
/sbin/iptables -A CUSTOMFORWARD -i $BLUE_DEV -o ! $GREEN_DEV -j ACCEPT
/sbin/iptables -A CUSTOMINPUT -i $BLUE_DEV -j ACCEPT
# Zugriff von Grün -> Blau verhindern (Achtung: es funktionieren auch keine Pinholes)
/sbin/iptables -A CUSTOMFORWARD -i $GREEN_DEV -o $BLUE_DEV -j DROP
;;
stop)
## add your 'stop' rules here
# aufräumen
/sbin/iptables -F CUSTOMFORWARD
/sbin/iptables -F CUSTOMINPUT
;;
reload)
$0 stop
$0 start
## add your 'reload' rules here
;;
*)
echo "Usage: $0 {start|stop|reload}"
;;
esac
Optional: Die DMZ-Pinholes RegelDamit die DMZ-Pinholes auch von Blau aus funktionieren, ist eine weitere
Regel nötig.
Außerdem ist die Regel "# Zugriff von Grün -> Blau verhindern"
zu entfernen, weil die Regel blockt ja die Zugriffe.
So die Pinholes Regel ist diese:
Code:
# Pinholes Chain einhängen, damit die DMZ-Pinholes funktionieren
/sbin/iptables -A CUSTOMFORWARD -i $BLUE_DEV -j DMZHOLES
Wo liegt die Datei rc.firewall.local nochmal 
?
Die Datei
rc.firewall.local liegt im Verzeichnis
/etc/rc.d/
Sollten Probleme
*** auftreten, dann bitte hier melden.
Ansonsten im Modifikationsforum posten!
*** Es ist ein Problem, wenn die Anleitung einen Fehler enthält oder
unzureichend ist.
Viel Spaß,
dotzball
Nochwas für die Forensuche:
Orangeasgreen, zweimal, 2x Grün / Green, Blau / Blue immer freischalten, mac deaktivieren,
blue-as-green, blueasgreen 
Home
Anmelden
Registrieren
FAQ
Suche
