Shorewall mit zwei ISP

Computer: Software & Programmierung UNIX & Linux
#1

Hallo Experten,

ich bräuchte etwas Unterstützung bei der Konfiguration der Linuxfirewall Shorewall.

Szenario:

Zwei Internetzugänge (ADSL2+): Einer für normales Surfen (dynamische IP), der andere für Internetdienste [Mail, WWW] (feste IP).

Ich weis, dass Shorewall das händeln kann, ich muss aber noch verschiedenste Kernelmodule bauen für Paketmanagling u.ä.
Meine Frage, welche Modules muss ich da alles aktivieren? Ich will nur die bauen, die ich auch brauche.

Hat das schonmal wer gemacht und kann mir ein paar Tipps geben.

Danke.
Klaus

#2

Ich weis, dass Shorewall das händeln kann, ich muss aber noch
verschiedenste Kernelmodule bauen für Paketmanagling u.ä.
Meine Frage, welche Modules muss ich da alles aktivieren? Ich
will nur die bauen, die ich auch brauche.

Hat das schonmal wer gemacht und kann mir ein paar Tipps
geben.

Gemacht schon, mir aber nicht gemerkt, welche Module ich da aktivieren musste. Wozu auch, kann man doch in der Doku nachlesen: http://shorewall.net/kernel.htm

Das da irgendwas besonderes zu beachten gewesen wäre, ist mir nicht erinnerlich.

HTH
Schorsch

#3

Hi Schorsch

Gemacht schon, mir aber nicht gemerkt, welche Module ich da
aktivieren musste. Wozu auch, kann man doch in der Doku
nachlesen: http://shorewall.net/kernel.htm

Das da irgendwas besonderes zu beachten gewesen wäre, ist mir
nicht erinnerlich.

Die Seite kenne, ich will aber nicht einfach alles aktivieren was da ist. Vllt. könntest du mir mal einen Dump von lsmod bzw. deiner Kernelkonfig geben, damit ich sehen was alles minimal dafür nötig ist. (Wenn du nicht alles fest eingestellt hast). Ich nutze hier 2.6.21-gentoo-r4.

Wenn ich meine beiden ISP in

providers

eintrage, und shorewall restart ausführe erhalte ich immer einen Fehler, dass er eine Route nicht hinzufügen kann. Muss ich dafür auch noch was extra installieren? Außer iproute2, das habe ich drauf.

Klaus

#4

Die Seite kenne, ich will aber nicht einfach alles aktivieren
was da ist. Vllt. könntest du mir mal einen Dump von
lsmod bzw. deiner Kernelkonfig geben, damit ich sehen
was alles minimal dafür nötig ist.

Gerade wenn’s dir ums Minimum geht, werden dir diese Informationen nichts nutzen, da ich auf den Shorewall-Kisten auch andere Dienste (z. B. Snort) fahre, die wieder zusätzliche Kernel-Einstellungen erforderlich machen. Ausserdem ist die Konfiguration der Kernel-Optionen wieder abhängig von der Konfiguration der Shorewall selbst (oder eher umgekehrt). Wenn du z. B. MSS Clamping benötigst (z. B., um MTU-Probleme zu beheben) ist das Setzen der entspr. Kernel-Option obligatorisch, wenn du kein ppp fährst, kannst du darauf verzichten. Wenn du bridgst, sind wieder andere Kerneloptionen erforderlich, weitere, wenn du MACList-Caching machen willst… Insofern gibt es keine Schablone, die du als Vorlage nutzen könntest, ich sehe aber keinen Grund, die Netfilter-Optionen im Kernel nicht durch die Bank zu aktivieren.

Wenn ich meine beiden ISP in

providers

eintrage,
und shorewall restart ausführe erhalte ich immer einen
Fehler, dass er eine Route nicht hinzufügen kann. Muss ich
dafür auch noch was extra installieren? Außer iproute2, das
habe ich drauf.

Ohne detaillierte Fehlermeldung und Kenntnis der Konfiguration liesse sich hier allenfalls spekulieren.

Gruss
Schorsch