[gelöst] Echte DMZ auf 7270 - [Paket dmz-0.0.4]

[schmatke]

Ich bin nicht so der linuxhai, aber suse benennt es selbstständig um...

Suse benennt bei mir nix um. Weder Firefox 3.0.6 noch Konqueror 3.5.7!
Und leer ist das Archiv auch nicht.

 

[RalfFriedl]

Doch doch, es ist schon ein Archiv.

Es ist kein Archiv, sondern eine einzelne komprimierte Datei.
Unter Archiv verstehe ich so etwas wie eine ZIP- oder TAR-Datei, in der mehrere einzelne Dateien vorhanden sein können.

 

[rspring]

wie sehe ich, daß die DMZ arbeitet

So. Ich habe alles auf der box. cpmaccfg gsmc liefert das gewünschte
Devices: 2
WAN is port: (none)
Device 1: name=eth0, portmask=0x27
Device 2: name=eth1, portmask=0x28

Aber: Die vom DHCP vergebenen IP-Adressen sind nicht die, die ich in der dmz.cfg definiert habe. Wie sehe ich an der fritzbox, daß die beiden Netze aktiv sind? Spielt das "Alle Computer befinden sich im selben IP-Netzwerk" eine Rolle? Wenn ich es weg nehme, sehe ich nach wie vor nur LAN & WLAN getrenn, aber das ist ja nicht das Ziel.

 

[Dunji]

Die vom DHCP vergebenen IP-Adressen sind nicht die, die ich in der dmz.cfg definiert habe.

Also die DMZ selbst hat keinen DHCP. Und in der dmz.cfg definierst Du nur die Box-IP für das Subnetz der DMZ. Ich finde es sowieso fraglich, in einer DMZ einen DHCP laufen zu haben, man will ja in einer DMZ gerade nur eine Handvoll dedizierter Server stehen haben, deren IPs man normalerweise statisch vergibt.
LAN und WLAN erhalten vom DHCP die IP-Adressen, die Du in WebGUI bei DHCP angibst.

Wie sehe ich an der fritzbox, daß die beiden Netze aktiv sind?

Gar nicht. Wieso muss man da was sehen? Steck doch ein Gerät ein und versuchs mit Ping. Im WebIF siehst Du einfach, ob der LAN-Port, den Du für die DMZ benutzt belegt ist.

Spielt das "Alle Computer befinden sich im selben IP-Netzwerk" eine Rolle? Wenn ich es weg nehme, sehe ich nach wie vor nur LAN & WLAN getrenn, aber das ist ja nicht das Ziel.

Absolut! Der Haken MUSS entfernt werden!
Wenn Du LAN/WLAN gebridged haben willst, mach

DMZ_BRIDGE_LAN_WLAN="yes"

Anschliessend gelten die Einstellungen für IP-Subnetz und DHCP-Range des WLAN-Interface auch für das LAN (das LAN-Subnetz sollte trotzdem auf ein völlig anderes, nicht benutztes, eingestellt werden, auch wenn es nicht benutzt wird. Und der LAN-DHCP muss deaktiviert werden!).

Äh, welche Box hast Du eigentlich? Wie wärs mit einer Signatur dazu?

 

[rspring]

so, es geht weiter

Hallo,

die DMZ funktioniert :dance: und mit samba ist auch der USB-Stick erreichbar. Nur weiß ich nicht, wie ich der DMZ beibringe, das Internet sehen zu dürfen.
Mein setup:
Internet über DSL;
DMZ an LAN 4
local LAN1-3 (sieht schon das Internet)
Was muß ich einstellen?

hier ist der output:

/var/mod/root # iptables -L -v -n
Chain INPUT (policy ACCEPT 131K packets, 29M bytes)
 pkts bytes target     prot opt in     out     source               destination
  306 23827 DROP       all  --  eth1   *       0.0.0.0/0            192.168.0.0/16

Chain FORWARD (policy ACCEPT 129K packets, 18M bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 DROP       all  --  eth1   wlan    0.0.0.0/0            0.0.0.0/0
    0     0 DROP       all  --  eth1   eth0    0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT 141K packets, 34M bytes)
 pkts bytes target     prot opt in     out     source               destination

Hilft das? Meine DMZ habe ich eigentlich in der dmz.co 192.168.66.0 genannt. Die kommt hier gar nicht vor.

die dmz.cfg sieht so aus:

export DMZ_ENABLED="yes"
export DMZ_IP="192.168.66.1"
export DMZ_NETMASK="255.255.255.0"
export DMZ_LAN_INTERFACE="eth0"
export DMZ_DMZ_INTERFACE="eth1"
export DMZ_LAN_PORTMASK="0x27"
export DMZ_DMZ_PORTMASK="0x28"
export DMZ_BRIDGE_LAN_WLAN="yes"
export DMZ_PROTECT_INTERFACE1="wlan"
export DMZ_PROTECT_INTERFACE2="eth0"
export DMZ_LOCAL_NET="192.168.8.0/16"

Gruß, rspring

 

[Dunji]

Ich schaus mir am Wochenende an, sobald ich wieder zuhause bin...

Danke für den Output.

EDIT: Hast du das Gateway in Deiner DMZ auf 192.168.66.1 eingestellt?

 

[rspring]

[Edit frank_m24: Mehrere Beiträge zusammengefasst. Man kann seine Beiträge auch editieren.]
Ich habe den Rechner in der DMZ auf gateway & DNS 192.168.66.1 eingestellt. In iptables habe ich alle Regeln gelöscht und in der AVM-firewall alles erlaubt: "permit ip any any". cpmaccfg gsmc zeigt die 2 Netze an. Trotzdem kommt der Rechner in der DMZ nicht ins Internet. Jetzt fällt mir nichts mehr ein...

[Beitrag 2:]
so, in der FB-Oberfläche habe ich die Statische Routing-Tabelle auf 192.168.66.0 gateway 192.168.179.1 gesetzt und siehe da, die DMZ hat Internet (vorher hatte ich da die 192.168.182.1 drin, die für eth0 den DHCP macht, aber das ging nicht!?!). Das "permit ip any any" ist rausgeflogen. Bleibt noch ein Problem: Aus der DMZ komme ich noch auf die Fritzbox. Auch ping in das lokale LAN wird beantwortet. Wie kann ich das verhindern?

 

[Dunji]

Wieso brauchst Du überhaupt eine statische Route? Das verstehe ich nicht. Der DHCP reagiert doch auf Broadcasts im gesamten Subnetz?

Ich nehme an, wenn Du die iptables-Regeln wieder aktivieren lässt, dann sollte das geregelt sein wegen dem Box-Zugriff und Zugriff aufs LAN.
Was mich allerdings wundert, ist, dass keine expliziten Regeln in deiner Liste drin sind, die direkt die IPs der Box referenzieren. Kannst Du mir vielleicht mal folgenden Output durchgeben:

cat /var/log/mod.log | grep DMZ

Danke!

 

[rspring]

Die statische Route braucht die DMZ (192.168.66.0), denn der DHCP werkelt ja im LAN 192.168.182.0.
Hier der gewünschte Auszug:

Setting up network interface for DMZ...
LAN/WLAN protected from DMZ.

Die alten oben geposteten iptables Regeln haben ja alles geblockt, also auch den traffic vom Inet zur DMZ, oder?

 

[Dunji]

Hallo rspring

die Zeile

export DMZ_LOCAL_NET="192.168.8.0/16"

müsste lauten

export DMZ_LOCAL_NET="192.168.8.0/24"

Sonst wird eben das gesamte Subnetz 192.168.0.0 geblockt.

Die Frage bleibt, weshalb die Box selbst nicht geschützt wurde. Kannst Du mir mal den Output posten von

ifconfig | grep inet | awk -F: '{ print $2 }' | awk '{ print $1 }'

Gruss Dunji

 

[rspring]

Hier der output von ifconfig

169.254.2.1
192.168.179.1
169.254.1.1
192.168.66.1
127.0.0.1
192.168.182.1

 

[Dunji]

Hallo Dunji,

was ist denn die Bedeutung von DMZ_LOCAL_NET?
Ich dachte es legt den Bereich gültiger IP-Adressen fest.

Besten Gruß, rspring

Dies legt das lokale Subnetz fest, für welches der Zugriff aus der DMZ geblockt wird.

Zu Deinem Output:
Wo ist denn der Eintrag für die Box im LAN/WLAN (192.168.8.1)?
Wie hast Du im WebIF die Box-IP definiert? Und der Haken bei "Alle im gleichen Subnetz" ist entfernt? Sag mir doch mal die IPs Deiner Box im LAN und die im WLAN.
Danke!

 

[rspring]

Die box hat diese Einstellungen:

LAN	IP-Adresse:	192.168.179.1
	Subnetzmaske:	255.255.255.0
	DHCP-Server:	deaktiviert
WLAN	IP-Adresse:	192.168.182.1
	Subnetzmaske:	255.255.255.0
	DHCP-Server:	aktiviert
	von:	192.168.182.20
	bis:	192.168.182.200

Außerdem habe ich die DMZ-Zeile so geändert:
export DMZ_LOCAL_NET="192.168.182.0/24" (das 8-er Netz gab es nicht). Allein durch diese Änderung kommen die Rechner in der DMZ jetzt ins Internet, was der Erklärung "Dies legt das lokale Subnetz fest, für welches der Zugriff aus der DMZ geblockt wird." widerspricht.

 

[Dunji]

Allein durch diese Änderung kommen die Rechner in der DMZ jetzt ins Internet, was der Erklärung "Dies legt das lokale Subnetz fest, für welches der Zugriff aus der DMZ geblockt wird." widerspricht.

Ich sehe da keinen Widerspruch. Das Subnetz 192.168.182.0 wird vor der DMZ geschützt, d.h. "dieses Subnetz wird für den Zugriff aus der DMZ geblockt". Genauso soll es ja sein. Dann müsste jetzt ein

ping 192.168.182.1

von der DMZ aus keine Antwort mehr bringen. Ist das so? Hingegen

ping 192.168.66.1

kriegt immer noch Antwort, gell? Das müssen wir nun noch dringend ändern.

Kannst Du mal die Ausgabe Deiner Box des folgendem Befehls durchgeben:

ifconfig | grep inet | awk -F: '{ print $2 }' | awk '{ print $1 }'

Dies sollte eine Liste aller IP-Adressen aller Netzwerkschnittstellen auf der Fritzbox liefern. Diese werden in der Funktion protectBox() im rc-Script rc.dmz separat geblockt, die Frage ist nur, weshalb bei Dir das nicht geschieht.

 

[rspring]

Der Status:
ping 192.168.182.1 fail
ping 192.168.179.1 OK
ping 192.168.66.1 OK

ifconfig liefert
169.254.2.1
192.168.179.1
169.254.1.1
192.168.66.1
127.0.0.1
192.168.182.1

Die rc.dmz gibt es übrigens 5x. Welche ist die richtige?

 

[Dunji]

Der Status:
ping 192.168.182.1 fail
ping 192.168.179.1 OK
ping 192.168.66.1 OK

Wie ichs mir gedacht habe.... Und hier siehst Du die Wirkund des DMZ_LOCAL_NET-Parameters, welcher für die erste Zeile in Deinem iptables-Output verwendet wird.

Die rc.dmz gibt es übrigens 5x. Welche ist die richtige?

Ich nehme an, sie sind alle identisch. Aber spielt ja keine Rolle, es geht ja um die, mit der Du den Freetz-Build machst, und dort gibt es nur eine.

Probier mal diese Version des DMZ-Package, die ich unten angehängt habe. Ich habe noch zwei Strichpunkte rausgenommen und ein zusätzliches echo in die Funktion protectBox reingemacht.

Wenn's Dir nicht zu mühsam ist, kannst Du dann ja nochmals den Output posten von:

cat /var/log/mod.log | grep DMZ

Da müsste dann jetzt unbedingt die Zeile

DMZ: protectBox called.

drinstehen, sonst verstehe ich langsam die Welt nicht mehr ;-)

 

[rspring]

mit diesem patch geht 'make' nicht mehr. In make menuconfig habe ich mehrere DMZ-packages, die immer nur gemeinsam ausgewählt werden können. Das sieht nicht gesund aus... im patch 5 habe ich mal zeile 285 auf bool "DMZ v0.0.5" geändert. Das hilft aber auch nicht.

 

[Silent-Tears]

Vielleicht solltest du die anderen Patches reverten, bevor du einen neuen einspielst? Denn so wird das alelr wahrscheinlichkeit nach nichts.

 

[rspring]

Aha, und wie macht man alte Pflaster weg?

 

[Silent-Tears]

svn revert <hier geänderte dateien einfügen>

oder neu auschecken, was einfacher ist.