---

Hejsa

Linux skulle være meget godt til at køre en firewall. Så er den endda
gratis.
Jeg søger lidt information om, hvad I synes er bedst og nemmest.
Linux er en ny verden for mig, men jeg kan da finde rundt i filsystemet fra
en prompt.
Jeg har afprøvet flere; Astaro, Smoothwall, IPCop og SNF fra Mandrake. Ingen
af disse opfylder ikke
mine ønsker. De fejler entet på stabilitet i netværket eller mangler
features.
Netværket som skal beskyttes består af op til 400-500 brugere. Der skal
helst være mulighed for
port forwarding, NAT da serverne helst skal stå bag muren. VPN må meget
gerne understøttes.

Har I et godt forslag til, hvad jeg skal bruge ?

På forhånd tak.


------------------------------------
Med venlig hilsen
Preben Graversen
pg@hogym.dk
preben@lundgaarden.dk

---

Preben Graversen wrote:
>
> Hejsa
>
> Linux skulle være meget godt til at køre en firewall. Så er den endda
> gratis.
> Jeg søger lidt information om, hvad I synes er bedst og nemmest.
> Linux er en ny verden for mig, men jeg kan da finde rundt i filsystemet fra
> en prompt.
> Jeg har afprøvet flere; Astaro, Smoothwall, IPCop og SNF fra Mandrake. Ingen
> af disse opfylder ikke
> mine ønsker. De fejler entet på stabilitet i netværket eller mangler
> features.
> Netværket som skal beskyttes består af op til 400-500 brugere. Der skal
> helst være mulighed for
> port forwarding, NAT da serverne helst skal stå bag muren. VPN må meget
> gerne understøttes.
>
> Har I et godt forslag til, hvad jeg skal bruge ?

Jeg er meget tilfreds med Astaro. Jeg opfatter den som klippestabil,
velgennemarbejdet, featurestoppet og så er den ret berømt for sin
sikkerhed.

Hvor fejler Astaro i dit setup?

--
Steen Suder "We reject kings, presidents and voting.
http://www.suder.dk/ We believe in rough consensus and running
code."
ICQ UIN: 4133803

---

"Steen Suder" <steen@suder.dk> skrev i en meddelelse
news:3CCB064B.58A1846F@suder.dk...
>
> Jeg er meget tilfreds med Astaro. Jeg opfatter den som klippestabil,
> velgennemarbejdet, featurestoppet og så er den ret berømt for sin
> sikkerhed.
>
> Hvor fejler Astaro i dit setup?
>
> --
> Steen Suder "We reject kings, presidents and voting.

Hej Steen.

Tak for input.

Astaro har for mig fejlet med manglende portmapning. Jeg har prøvet med
version 2016. Måske er det min opsætning af DNAT og SNAT der har været
forkert. Dette er måske også skyld i manglende stabilitet. Har du et godt
link til Astaro med trinvis opsætning for #linux dummies# ?
Astaro er det bedste produkt til mine behov. Ingen tvivl om det.


------------------------------------
Med venlig hilsen
Preben Graversen
pg@hogym.dk
preben@lundgaarden.dk

---

On Sun, 28 Apr 2002 00:07:33 +0200, Preben Graversen wrote:



> Astaro har for mig fejlet med manglende portmapning. Jeg har prøvet med
> version 2016. Måske er det min opsætning af DNAT og SNAT der har været
> forkert. Dette er måske også skyld i manglende stabilitet. Har du et
> godt link til Astaro med trinvis opsætning for #linux dummies# ? Astaro
> er det bedste produkt til mine behov. Ingen tvivl om det.
>
>
Det er jo fuldstændig lige meget hvilken distribution man benytter, bare
man forstår simpel netværksteori, og tænker sig om. Firewall reglerne er
blot en syntax...

Jeg har en Debian box, der kører pænt stabil (alt over kernel 2.2 kører
stabilt stortset).

Den kører:

- Firewall
- NAT
- QoS
- Services

Hjælp til firewall og NAT:
http://www.braindump.dk/dk/wiki/?wikipage=IpTables

Hjælp til:
http://lartc.org/HOWTO//cvs/2.4routing/html/x1886.html#AEN1927QoS

Du skal nok vente meget længe før du vil finde en linux distribution der
tænker for dig.

/Bo

---

On Sun, 28 Apr 2002 00:37:00 +0200, Bo Simonsen <paltas@geekworld.dk> wrote:

|> Det er jo fuldstændig lige meget hvilken distribution man benytter, bare
|> man forstår simpel netværksteori, og tænker sig om. Firewall reglerne er
|> blot en syntax...

Manden vil have en firewall med gui .. derfor har du sikkert spildt
din tid med den forklaring

Desuden kan der tilføjes, at FreeS/WAN(http://www.freeswan.org) kan
anbefales til at lave en IPSEC vpn-løsninger.

--

/wojci at wojci dot dk

One must suffer before enlightenment.

---

"Michael Wojciechowski" <wojci@wojci.dk> skrev i en meddelelse
news:slrnacocu9.1bk.wojci@pc97160.stofanet.dk...
> Manden vil have en firewall med gui .. derfor har du sikkert spildt
> din tid med den forklaring
>
> Desuden kan der tilføjes, at FreeS/WAN(http://www.freeswan.org) kan
> anbefales til at lave en IPSEC vpn-løsninger.
>
> --
>
> /

Hej igen

Bo har ikke spildt tiden ved at svare mig. Der er en flot forklaring det
link, som jeg kun kan anbefale.
Det er ikke nødvendigt at firewall er med GUI. Baggrundsteori er vist et
"must" her, så jeg går igang med læsningen.
Tak for svarene.


------------------------------------
Med venlig hilsen
Preben Graversen
pg@hogym.dk
preben@lundgaarden.dk

---

On Sun, 28 Apr 2002 20:32:19 +0200, Preben Graversen wrote:

> Bo har ikke spildt tiden ved at svare mig. Der er en flot forklaring det
> link, som jeg kun kan anbefale.
> Det er ikke nødvendigt at firewall er med GUI. Baggrundsteori er vist et
> "must" her, så jeg går igang med læsningen. Tak for svarene.

Ja, de fleste windows mennesker kikker dumt på en når man siger NAT, de
forventer man siger internet deling e.l.

Men god fornøjelse :)

/Bo

---

Bo Simonsen <paltas@geekworld.dk> wrote:

>Ja, de fleste windows mennesker kikker dumt på en når man siger NAT, de
>forventer man siger internet deling e.l.

De fleste Linux-mennesker kigger dumt på en, når man siger NAT.
De forventer, man siger IP Masquerading.


--
Allan

---

On Sun, 28 Apr 2002 23:18:57 +0200, Allan Olesen wrote:

> De fleste Linux-mennesker kigger dumt på en, når man siger NAT. De
> forventer, man siger IP Masquerading.

Både NAT og IpMasq er nøgleord når vi ser på firewalling med iptables..

/Bo

---

"Michael Wojciechowski" <wojci@wojci.dk> skrev i en meddelelse
news:slrnacocu9.1bk.wojci@pc97160.stofanet.dk...

> Desuden kan der tilføjes, at FreeS/WAN(http://www.freeswan.org) kan
> anbefales til at lave en IPSEC vpn-løsninger.

Bemærk, at FreeS/WAN er inkluderet i Astaro 3.050.

Se:
http://www.astaro.org/cgi/ultimatebb.cgi?ubb=get_topic&f=1&t=000103

Det nævnes også til 3.030, at der kommet et nyt system til at håndtere
NAT - jeg har dog ikke fået installeret den endnu
Man kan se, at skifter til kerne 2.417 - betyder det
et skifte mellem iptables og ipchains?

--
Jens Axel Søgaard

---

"Jens Axel Søgaard" <usenet@soegaard.net> wrote:

>Man kan se, at skifter til kerne 2.417 - betyder det
>et skifte mellem iptables og ipchains?

Ikke nødvendigvis. Ipchains kører også under 2.4. Men det vil
naturligvis være synd, hvis de ikke benytter muligheden for at
skifte til iptables.


--
Allan

---

Allan Olesen wrote:
> "Jens Axel Søgaard" <usenet@soegaard.net> wrote:
>
>> Man kan se, at skifter til kerne 2.417 - betyder det
>> et skifte mellem iptables og ipchains?
>
> Ikke nødvendigvis. Ipchains kører også under 2.4. Men det vil
> naturligvis være synd, hvis de ikke benytter muligheden for at
> skifte til iptables.

Nu har jeg prøvet at installere den, og jo de har skiftet til iptables.
Er mulighederne for statisk NAT større med iptables end med ipchains?

Jeg tænker i almindelighed på nedenstående afsnit fra den gamle manual,
og i særdeleshed på
You can: IP-Range/Port => IP/Port
You can't: IP => IP

Q1: Is it possible to define a static NAT from the outside to the inside,
e.g.: Map external IP a.b.c.d to internal IP w.x.y.z (in both
directions)?

A1: YES it is possible to do static NAT,
but with a little limitation, for now.

You can map:
IP/Port => IP/Port
IP/Port-Range => IP/Port
IP-Range/Port => IP/Port
IP-Range/Port-Range => IP/Port

You can't map:
IP => IP
IP-Range => IP
IP => IP-Range (load balancing)

Hele teksten findes på: http://docs.astaro.org/docs/NAT_Masq.txt

Mvh,
--
Jens Axel Søgaard

---

Den Mon, 29 Apr 2002 22:55:36 +0200 skrev Jens Axel Søgaard:
>Allan Olesen wrote:
>> "Jens Axel Søgaard" <usenet@soegaard.net> wrote:
>>
>>> Man kan se, at skifter til kerne 2.417 - betyder det
>>> et skifte mellem iptables og ipchains?
>>
>> Ikke nødvendigvis. Ipchains kører også under 2.4. Men det vil
>> naturligvis være synd, hvis de ikke benytter muligheden for at
>> skifte til iptables.
>
>Nu har jeg prøvet at installere den, og jo de har skiftet til iptables.
>Er mulighederne for statisk NAT større med iptables end med ipchains?

ipchains havde kun MASQ.

Der var et ekstra program, ipmasqadm, der i samarbejde med et specielt
modul kunne lave noget NAT på 2.2-kerner, men jeg har ikke prøvet det.

Mig bekendt er der ikke nogen begrænsninger i NAT i iptables.

Udsnit fra iptables(8):

SNAT
This target is only valid in the nat table, in the
    POSTROUTING chain. It specifies that the source address
    of the packet should be modified (and all future packets
    in this connection will also be mangled), and
    rules should cease being examined. It takes one option:
   
    --to-source <ipaddr>[-<ipaddr>][:port-port]
    which can specify a single new source IP address,
       an inclusive range of IP addresses, and optionally,
       a port range (which is only valid if the rule also
       specifies -p tcp or -p udp). If no port range is
       specified, then source ports below 512 will be
       mapped to other ports below 512: those between 1024
       will be mapped to ports below 1024, and other ports
       will be mapped to 1024 or above. Where possible,
       no port alteration will occur.

DNAT
This target is only valid in the nat table, in the
    PREROUTING and OUTPUT chains, and user-defined chains
    which are only called from those chains. It specifies
    that the destination address of the packet should be modi­
    fied (and all future packets in this connection will also
    be mangled), and rules should cease being examined. It
    takes one option:
   
    --to-destination <ipaddr>[-<ipaddr>][:port-port]
    which can specify a single new destination IP
       address, an inclusive range of IP addresses, and
       optionally, a port range (which is only valid if
       the rule also specifies -p tcp or -p udp). If no
       port range is specified, then the destination port
       will never be modified.

Mvh
Kent
--
Which one is faster - Lotus Notes or Lotus Esprit?

---

Kent Friis wrote:
> Den Mon, 29 Apr 2002 22:55:36 +0200 skrev Jens Axel Søgaard:
>> Allan Olesen wrote:
>>> "Jens Axel Søgaard" <usenet@soegaard.net> wrote:

>>>Er mulighederne for statisk NAT større med iptables end med ipchains?

> Udsnit fra iptables(8):

> SNAT
> --to-source <ipaddr>[-<ipaddr>][:port-port]

> DNAT
> --to-destination <ipaddr>[-<ipaddr>][:port-port]

Det lyder godt. Det var port-port muligheden, der manglede før.

Mvh.,
Jens Axel

---

Jeg kan virkelig anbefale OpenBSD. Den er for det første en hel del lettere
at sætte op en de fleste linux firewalls, og så er den så stabil som de
kommer.
Selve installationen er tekstbaseret og ikke nær så let som de fleste
linuxer, men når man er igennem installationen har man et utrolig godt
værktøj som oven i købet er utrolig godt dokumenteret.
VPN (både pptp og IPSec), nat, port forwarding er understøttet

Hilsen Isak

Preben Graversen wrote:

> Hejsa
>
> Linux skulle være meget godt til at køre en firewall. Så er den endda
> gratis.
> Jeg søger lidt information om, hvad I synes er bedst og nemmest.
> Linux er en ny verden for mig, men jeg kan da finde rundt i filsystemet
> fra en prompt.
> Jeg har afprøvet flere; Astaro, Smoothwall, IPCop og SNF fra Mandrake.
> Ingen af disse opfylder ikke
> mine ønsker. De fejler entet på stabilitet i netværket eller mangler
> features.
> Netværket som skal beskyttes består af op til 400-500 brugere. Der skal
> helst være mulighed for
> port forwarding, NAT da serverne helst skal stå bag muren. VPN må meget
> gerne understøttes.
>
> Har I et godt forslag til, hvad jeg skal bruge ?
>
> På forhånd tak.
>
>
> ------------------------------------
> Med venlig hilsen
> Preben Graversen
> pg@hogym.dk
> preben@lundgaarden.dk