  Das Netfilter Kochbuch
  Alexander W. Janssen <alex@ynfonatic.de>
  $Id: netfilter-kochbuch-de.sgml,v 1.2 2001/06/05 20:55:21
  yalla Exp $

  Dieses Dokument erlaetert den Gebrauch von Netfilter und iptables
  anhand praktischer Beispiele. Es ist sowohl fuer Anfaenger, Umsteiger
  von ipchains und Firewallinteressierten gedacht.
  ______________________________________________________________________

  Table of Contents


  1. Vorwort

     1.1 Worum geht's ?
     1.2 Was gibt's hier ?
     1.3 In welchem Status ist das Dokument ?

  2. Todo Liste

  3. Was ist Netfilter ?

     3.1 Netfilter kurz und knapp
     3.2 Features von Netfilter
     3.3 iptables, Firewallmanagement

  4. Eine simple Firewall

     4.1 Die Heimloesung: IP-Masqerading oder "Wie komme ich mit nur einer IP aber vielen Rechnern ins Netz ?
     4.2 Was ist Portforwarding ?
        4.2.1 Wie hoste ich Spiel hinter einer maskierenden Firewall ?
        4.2.2 Wie zwinge ich bestimmte Dienste auf bestimmte Hosts hinter der Firewall ?
     4.3 Wie kann ich flexibler Routen ?
        4.3.1 Wie zwinge ich bestimmte Hosts auf bestimmte Strecken ?

  5. Die Architektur des Netfilter Frameworks

     5.1 Tabellen
     5.2 Chains
     5.3 Matches
     5.4 Targets

  6. NAT

     6.1 Was ist NAT ?
     6.2 Source NAT oder IP-Masquerading
     6.3 Destination NAT

  7. Firewall im ernsthaften Einsatz

     7.1 Einfuehrung
     7.2 Die Demilitarisierte Zone
     7.3 Zugriff von Innen nach Aussen
     7.4 Zugriff von Aussen nach Innen
     7.5 Zugriff in die DMZ

  8. Mitloggen und Accouting

     8.1 Das LOG Target
     8.2 Das ULOG Target
        8.2.1 Das MySQL-Plugin
           8.2.1.1 Konfiguration des MySQL-Plugins
           8.2.1.2 Konfiguration des MySQL-Datenbankservers
           8.2.1.3 Einfaches PHP-Script fuer den Apache, um Logfiles anzusehen
        8.2.2 Das logemu-Plugin
        8.2.3 Das pwsniff-Plugin

  9. Angriffsbewertung

     9.1 Portscanner
     9.2 "Denial of Service" Angriffe
        9.2.1 Einschraekungen des Loggingverhaltens
     9.3 Gegenmassnahmen
        9.3.1 Sperren von Netzen und Hosts waehrend eines Angriffes

  10. "Schraeges Routing"

     10.1 Hilfe, mein Nachbarnetz nutzt die Selben IP's !
  11. Firewalldesign

     11.1 Nachdenken ueber Sicherheit
     11.2 Was brauchen wir, was ist unnoetig, was gefaehrlich und unerwuenscht ?
     11.3 Ansaetze zum Firewalldesign
        11.3.1 "Verbiete alles, erlaube nur was noetig ist"
        11.3.2 "Erlaube alles, verbiete was wir nicht haben wollen"
     11.4 Zugestaendnisse an Mitarbeiter und Kunden
     11.5 Nachdenken ueber Datenschutz

  12. VPN

     12.1 IPsec
     12.2 IP6
     12.3 Tunneling

  13. Verifikation des Design

     13.1 Portscan
     13.2 Penetration
     13.3 Exploits
     13.4 Der Routerfaktor
     13.5 Info's ueber aktuelle Sicherheitsluecken
     13.6 Externes Sicherheitsconsulting

  14. Erlaeuterung einer beliebten Firewalls

     14.1 Die SuSE 7.0 Firewall

  15. Vergleich von Netfilter mit kommerziellen Firewalls

     15.1 Firewall-1 von Checkpoint
     15.2 Cisco PIX

  16. Quellen

  17. Disclaimer und Copyright

  18. Dank


  ______________________________________________________________________

  11..  VVoorrwwoorrtt

  11..11..  WWoorruumm ggeehhtt''ss ??

  Jaja, so geht's. Da gibt es einen neuen Kernel, und man muss schon
  wieder ein neues Managementtool zur Linuxfirewall lernen. Am Anfang
  war ipfwadm, und dannach kam ipchains. Kaum hatte man sich an ipchains
  gewoehnt, kam iptables.


  Nun, dieses Dokument ist eigentlich aus der Not entstanden. Ich habe
  mich schon sehr frueh mit Netfilter beschaeftigen muessen, da ich
  einem Projekt bei meinem Arbeitgeber eine Firewall auf Linuxbasis
  ausetzten sollte.


  Es wurde sher frueh klar, das ipchains "tot" ist und das es wenig Sinn
  macht, weiterhin darauf zu setzen. Also wurden eifrig die neusten
  Entwicklerkernel heruntergeladen, netfilter von Hand eingeklebt,
  kompiliert und getestet. Mitunter mit erbuechternden Folgen.


  Nun ist der neue Linuxkernel in der Version 2.4.1 verfuegbar, und
  Netfilter hat meiner Meinung nach (schon lange) einen Stand erreicht,
  der den Gebrauch im Produktionsbetrieb zulaesst. Es gab nicht sehr
  viele Dokumente, die mir und meinen Kollegen beim Aufsetzen der ersten
  Netfilterfirewall geholfen haben, trotzdem gibt es vier wertvolle
  Quellen, die am Schluss erwaehnt werden.


  11..22..  WWaass ggiibbtt''ss hhiieerr ??

  Ich will mit diesem Kochbuch das praktisch anwenden, was in den
  gegenwaertzigen HOWTO's noch unzureichend dokumentiert ist: Mit
  welcher Variante man welches Ergebniss erreichen kann. Das Dokument
  setzt Basiswissen im Bereich IP-Netze und Routing vorraus, Wissen
  ueber die alte Linuxfirewall und ipchains ist nuetzlich, aber nicht
  notwendig.


  11..33..  IInn wweellcchheemm SSttaattuuss iisstt ddaass DDookkuummeenntt ??

  Dieses Dokument ist noch in einem sehr fruehen Stadium, also bin ich
  ueber Hilfe, Anregungen, Anmerkungen und natuetlich Berichtigungen
  jederzeit dankbar. Dieses Kochbuch hat eine Menge Kapitel, und
  mindestens genau so viele sind zur Zeit noch leer. Wenn Du, werter
  Leser, dich geneigt fuehlst, ein leeres Kapitel zu vervollstaendigen
  und dich auch noch ein wenig mit dem Linuxdoc SGML System auskennst,
  dann schreibe mir einfach eine Email <mailto:alex@ynfonatic.de> und
  teile mir mit, was du tun moechtest. Auch waere ich daran
  interessiert, wenn sich Freiwillge zwecks Uebersetzung in andere
  Sprachen bei mir melden wuerden.


  Ich moechte noch von virneherein erwaehnen, dass ich weder ein
  Kernelhacker noch ein Netfilterentwickler bin. Ich habe mir nur in
  viel muehseliger Kleinarbeit die Informationen zusammengesucht, die
  ich fuer das Firewallsetup an verschiedenen Standorten brauchte. Ich
  dachte mir, dass es nuetzlich waere, dieses Wissen mit Euch zu teilen.
  Wie fuer alle Dokumente gilt hier auch: Benutzung auf eigene Gefahr !
  Ich kann nicht garantieren, dass alles, was hier beschrieben ist,
  funktioniert, geschweige denn richtig ist. Fuer weitere Infos schaut
  in den Disclaimer und ins Copyright. Ausserdem habe ich sehr viele
  Informationen schamlos geklaut, teils aus "Rusty's unreliable Guides",
  aus der "Advanced Routing Howto", der "Linux packetfilter HOWTO" und
  der "Netfilter hacking HOWTO". Naeheres gibts bei den Quellen.


  Genug der Worte, los gehts ! Viel Spass beim Lesen,

  Alexander "Yalla" Janssen <alex@ynfonatic.de
  <mailto:alex@ynfonatic.de>>


  22..  TTooddoo LLiissttee


  +o  Das Dokument modularisieren, dass mehrere Leute an
     unterschiedlichen Dokumenten zur selben Zeit arbeiten koennen so
     dass Sie unterschiedlich commitet werden koennen. Notiz fuer mich:
     Wie geht denn das ?

  +o  Die fehlenden Kapitel vervollstaendigen

  +o  Kompetente Information ueber das connection-tracking besorgen
     (Mailingliste durchwuehlen...)


  +o  Script zusammensuchen


  33..  WWaass iisstt NNeettffiilltteerr ??

  33..11..  NNeettffiilltteerr kkuurrzz uunndd kknnaapppp

  Netfilter ist der neue Linux Firewall Mechanismus. Er ist integraler
  Bestandteil des Netzwerkteils von Linux. Netfilter haengt sich, salopp
  gesagt, in die Sende- und Empfangsleitungen von Linux ein. Wann immer
  Daten in die Firewall fliessen oder verlassen, ist Netfilter am Ball
  und trifft anhand von Regeln, die der Benutzer mit dem Tool iptables
  erstellt, Entscheidungen, was mit diesen Daten passieren soll.


  Netfilter koennte sich entscheiden, die Daten passieren zu lassen, sie
  mitzuloggen, sie zu verwerfen, zurueckzuweisen oder gar woanders hin
  umzuleiten. Netfilter koennte auch ueber den NAT-Mechanismus die
  Absender- oder Empfaengeradresse oder Port austauschen, oder auch die
  Pakete markieren, damit sie der Routingmechanismus anders behandelt.


  Kurzum: Netfilter ist in der Lage, Daten, die durch die Firewall
  fliessen, zu beeinflussen. Traditionell leiten Router ihre Pakete und
  deren Inhalt unbeinflusst weiter - eine Firewall kann jedoch vor oder
  nach dem Routing Entscheidungen treffen, das Paket nach Regeln zu
  behandeln.


  33..22..  FFeeaattuurreess vvoonn NNeettffiilltteerr


  +o  Es bietet eine Paketfirewall der besonderen Art. Es gibt sehr viele
     Kriterien, nach denen man Pakete auswaehlen kann und es lassen sich
     eingene Erweiterungen schreiben. Auch lassen sich eigene Targets,
     dass sind die Komponenten, die letztendlich irgend was mit dem
     Paket machen (durchlassen, wegwerfen), mit eitwas
     Programmierkenntniss schreiben.

  +o  Wenn gewuenscht, bringt Netfilter "stateful inspection" mit ins
     Rennen. Mit der stateful Inspection lassen sich Paketfilter sehr
     einfach schreiben, es ist also nicht zwangslaefig mehr die Angabe
     der TCP-Flags noetig.


  33..33..  iippttaabblleess,, FFiirreewwaallllmmaannaaggeemmeenntt

  iptables ist das Programm, mit der Linux 2.4 Firewall administriert
  wird. Es fasst alle Funktionen wie NAT, mangeling und den Paketfilter
  unter einer einheitlichen Syntax zusammen.


  44..  EEiinnee ssiimmppllee FFiirreewwaallll

  Die simpelste Firewall, die es wohl gibt, ist die, die den lokalen
  Rechner vor dem boesen Internet beschuetzt. Idealerweise ist eine
  Firewall so aufgebaut, dass man nur loakl abgehende Verbindungen
  aufbauen kann. Eingehende Verbindungen sollen so weit es geht und
  erwuenscht ist, verboten werden.

  "Warum", fragt sich nun der aufmerksame Leser, "brauche ich eine
  loakle Firewall ? Ich habe doch kein Netzwerk !". Nun, diese Frage ist
  nicht unberechtigt. In Zeiten, wo eine Flatrate mittlerweile in
  Deutschland erschwinglich ist, ist man gut und gerne 24 Stunden
  "online", bevor sich die IP durch einen zwanghaften Abbruch aendert.
  Eine IP, die sich fuer laengere Zeit als ein und dasselbe Host zeigt,
  ist ein potielles Ziel fuer die selbsternannten "Hacker", den Script
  Kiddies. Ihnen wird es einen Heidenspass machen, dich zu attackieren,
  sobald sie wissen, dass es dich gibt !

  Dies ist keine ungesunde Paranoia - man muss sich halt nur vor Augen
  halten, dass die Zeiten von "winnuke" vorbei sind. Ein gewoehnlicher
  User ist meistens nicht so auf dem Laufenden und sieht es auch gar
  nciht ein, seinen loaklem FTP-Server zu patchen, "nur" weil "wieder
  einmal" ein Fehler im wu-ftpd bekannt wurde. Aber Script Kiddies oder
  andere destruktive Naturen haben schneller einen Exploit zur Hand, ehe
  man bemerkt, dass man eigentlich angegriffen wird. Und eine
  Sicherheitslcke, die dem Angreifer eine Rootshell oeffnet, hat eine
  ganz andere Qualitaet als ein abgestuerzter Rechner. (FIXME: Besseres
  Beispiel einfuegen, das mit ftp hinkt, da man eh verloren ist, wenn
  der Exploit angwandt wird)

  Hier ein Beispiel, dass diesen Forderungen gerecht wird. Es sind,
  soweit an dieser Stelle zu erlaetern, Kommentare angefgt.


       # Loesche zuerst alle Regeln in allen Tabellen
          ipatbles -t filter -F
          iptables -t nat -F
          ipatbles -t mangle -F

       # Nun setzte alle Ketten defaultmaessig auf "alles wegwerfen"
          iptables -P INPUT DROP
          iptables -P FORWARD DROP

       # Nur die OUPUT-Kette, das sind die Daten, die die Firewall selber
       # rausschickt, wird freigeschaltet
          iptables -P OUTPUT ACCEPT

       # Nun erlaube Daten, die von der Firewall selber kommen, auch die Firewall
       # zu betreten (lo = Loopbackdevice aka 127.0.0.1)
          iptables -A INPUT -i lo -j ACCEPT

       # Erlaube Daten, die aus einer Verbindung stammen, die wir selber
       # erzeugt haben, die Firewall zu betreten
          ipatbles -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


  Diese minimale Firewall bietet also nun folgende Features:

  +o  Sie blockt alle Verbindungsaufbauten von aussen

  +o  Sie erlaubt Verbindungen von innen, die nach aussen oder innen
     gehen

  +o  Sie erlaubt Daten den Zugang nach innen, deren Verbindung wir
     selber aufgebaut haben

  Diese Firewall erlaubt wohlgemerkt sonst gar nicht. Moechte man aber
  z.B.  einen FTP-Server oeffnen, kann man das mit folgenden Befehl tun:


       # FTP fuer den Zugriff von aussen freischalten
       iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT


  Analog dazu kann man auch seinen lokalen Webserver erlauben:


       # Webzugriff freischalten
       iptables -A INPUT -p tcp --dport 80 -j ACCEPT


  44..11..  eeiinneerr IIPP aabbeerr vviieelleenn RReecchhnneerrnn iinnss NNeettzz ??  DDiiee HHeeiimmllooeessuunngg:: IIPP--
  MMaassqqeerraaddiinngg ooddeerr ""WWiiee kkoommmmee iicchh mmiitt nnuurr

  Das ist meistens die brennenste Frage, die zuallererst geschrien wird:
  "Ich will doch nur Masquerading !" Ok, hier sollt ihr es haben.  Ich
  habe das gesamte Setup schamlos aus Rusty's Netfilter Guide geklaut.
  (HIER EINFUeGEN)


  44..22..  WWaass iisstt PPoorrttffoorrwwaarrddiinngg ??

  Portforwarding ist, wenn eine Maschine einen Port bereitstellt, die
  Daten annimmt, die Verarbeitung aber letztendlich einer anderen
  Maschine ueberlaesst. Am besten erlaetert man dies an einem Beispiel:

  Meine Firewall bietet keine FTP-Dienst an, soll sie auch gar nicht.
  Hinter meiner Firewall habe ich nun einen Rechner, der diese Aufgabe
  uebernehmen soll. Die Firewall macht jedoch die Ports 21 und 20 auf
  und leitet alle Anfragen an den FTP-Host weiter. Der Benutzer denkt
  jedoch, dass er mit meiner Firewall spricht.

  Der ganze Mechanismus wird durch NAT und Connectiontracking
  realisiert. Was passiert hier also im Detail ?

  Die Firewall nimmt die Daten vom Client entgegen, vertauscht die
  Absenderadresse des Clients mit seiner eigenen, internen Adresse
  (unter der sie fuer den eigentlichen FTP-Server bekannt ist), ffnet
  einen neuen Port von dem sie aus quasi als Vermittler dem FTP-Server
  die Anfrage stellt.

  Der FTP-Server redet also nun mit der Firewall. Die Firewall weiss nun
  ueber ihren Port, mit dem sie mit dem FTP-Server verbunden ist, zu
  welchem Client im Internet die Verbindung gehoert.


  44..22..11..  WWiiee hhoossttee iicchh SSppiieell hhiinntteerr eeiinneerr mmaasskkiieerreennddeenn FFiirreewwaallll ??

  Als Beispiel, wie sich ein Portforwarding in Verbindung mit NAT
  realisieren laesst, zeige ich, wie man das Spiel "Delta Force" aus
  einem Windowsrechner hinter der Firewall mit einer privaten IP hosten
  kann: (HIER EINFUeGEN)


  44..22..22..  WWiiee zzwwiinnggee iicchh bbeessttiimmmmttee DDiieennssttee aauuff bbeessttiimmmmttee HHoossttss hhiinntteerr
  ddeerr FFiirreewwaallll ??

  44..33..  WWiiee kkaannnn iicchh fflleexxiibblleerr RRoouutteenn ??

  44..33..11..  WWiiee zzwwiinnggee iicchh bbeessttiimmmmttee HHoossttss aauuff bbeessttiimmmmttee SSttrreecckkeenn ??

  55..  DDiiee AArrcchhiitteekkttuurr ddeess NNeettffiilltteerr FFrraammeewwoorrkkss

  iptables ist ein Tool, um Regeln in in die Firewall einzupflegen. Um
  die Architektur im Detail zu verstehen, muessen ein paar Begriffe
  eingefuehrt und erlaeutert werden.
  55..11..  TTaabbeelllleenn

  Das Netfilter-Framework kennt insgesamt drei Standarttabellen. Die
  wohl wichtigste Tabelle, die filter-Tabelle, nimmt Regeln fuer den
  Paketfilter auf. Eine andere wichtige Tabelle, die nat-Tabelle; sie
  nimmt Regeln zur Manipulation des Paketheaders auf. Dort findet z.B.
  Source-NAT, Destination-NAT oder das bekannte IP Masquerading statt.
  Dazu mehr im Punkt NAT. Die dritte, "grosse" Tabelle ist die mangle-
  Tabelle. In dieser Tabelle lassen sich z.B. die TOS-Bits setzen oder
  die Pakete intern markieren um im Routing-Code auf andere Wege zu
  schicken.

  In jeder Tabelle befinden sich mindestens eine Chain. Die Chains
  nehmen die verschiedenen Regeln auf, die sich wiederum aus einem Match
  und einem Target zusammensetzen.

  55..22..  CChhaaiinnss

  Eine Chain ist eine Abfolge von Firewallregeln. Die Regeln in einer
  Chain werden immer von oben nach unten abgearbeitet. Ein Paket wandert
  also in eine Chain hinein und der Match der ersten Regeln wird gegen
  das Paket geprueft. Trifft der Match zu, wird das Paket auf das Target
  angewandt.  Das Target wiederum kann ein "finales" oder ein
  "nichtfinales" Target sein.  Wird ein Paket auf ein finales Target
  angewandt, ist die Reise fuer dieses Paket in dieser Chain vorbei und
  das naechste Paket betritt die Chain. Ist es jedoch auf ein
  nichtfinales Target angewandt worden, wandert das Paket weiter durch
  die Chain.

  Jede Chain zaehlt zusaetzlich noch die Anzahl der Pakete mit, die in
  diese Chain gelangt sind. Auch zaehlt sie die Anzahl der effektiven
  Bytes mit.

  Als Zusatzinformation bleibt noch zu sagen, dass man eigene Chains mit
  eigenen Regeln erstellen kann und beinahe beliebig zwischen den Chains
  hin- und herspringen kann (was effektiv heisst, dass man ein Paket von
  einer Stelle der Firewall zu anderen schickt).

  55..33..  MMaattcchheess

  Ein Match ist der Teil einer Regel, der bestimmt, welches Paket auf
  das Target angewandt wird. Hier mal ein Beispiel in Prosa und dannach
  in Code:


       "Alle Pakete, die von 192.168.0.1 nach 192.168.1.6 gehen und zum Port 22/tcp
       gehen"

           -s 192.168.0.1 -d 192.168.1.6 -p tcp --dport 22

       "Alle Pakete, die vom externen Interface kommen und keine ICMP-echo-requests
       sind" (eth2 ist dabei das externe Interface)

           -i eth2 -p ! icmp --icmp-type ! icmp-echo-request


  55..44..  TTaarrggeettss

  Targets bestimmten letztendlich, was mit dem gematchten Paket gemacht
  werden soll. Hier mal eine Liste typischer Targets:

  +o  ACCEPT - Akzeptiere (erlaube) das Paket. Finales Target.


  +o  DROP - Werfe das Paket weg

  +o  REJECT - Weise das Paket mit einem Fehler zuruechk

  +o  SNAT - Ersetze die Source IP-Adresse des Paketes durch eine andere


  66..  NNAATT

  66..11..  WWaass iisstt NNAATT ??

  NAT ist die Abkuerzung fuer "Network Address Translation". Mit dieser
  Funktion kann man die Absender- und Empfaengeradresse eines
  Datenpaketes auf der Firewall so veraendern, dass das Paket entweder
  woander hingeschickt wird (wenn DNAT - Destination NAT, also die
  destination IP veraendert wurde) oder dass es so aussieht, als ob
  jemand anderes das Paket losgeschickt hat (SNAT - source NAT oder
  MASQUERADE).

  66..22..  SSoouurrccee NNAATT ooddeerr IIPP--MMaassqquueerraaddiinngg

  Dieses sehr populaelre NAT wird sehr haefig eingesetzt. Seine beiden
  Haupteinsatzgebiete sind einmal kleine, private Netzwerke, die nur
  eine einzige offizielle IP-Adresse besitzten aber trotzdem durch einen
  Router Zugriff auf's Internet von allen internen PC's mit privaten IP-
  Adressen haben wollen - im anderen Fall moechte man durch SNAT einfach
  verschleiern, das hinter der Firewall noch eine ganze Menge anderer
  Rechner stehen (daher auch der Name "Masquerading").

  66..33..  DDeessttiinnaattiioonn NNAATT

  77..  FFiirreewwaallll iimm eerrnnsstthhaafftteenn EEiinnssaattzz

  77..11..  EEiinnffuueehhrruunngg

  77..22..  DDiiee DDeemmiilliittaarriissiieerrttee ZZoonnee

  77..33..  ZZuuggrriiffff vvoonn IInnnneenn nnaacchh AAuusssseenn

  77..44..  ZZuuggrriiffff vvoonn AAuusssseenn nnaacchh IInnnneenn

  77..55..  ZZuuggrriiffff iinn ddiiee DDMMZZ

  88..  MMiittllooggggeenn uunndd AAccccoouuttiinngg

  Das Mitloggen von Verbindungen ist ein wesentliches Feature, was man
  von jeder Firewall erwarten kann. Das Netfilter bietet gleich zwei
  verschiedene Logmechanismen, unter denen man auswaehlen kann.

  88..11..  DDaass LLOOGG TTaarrggeett

  Das LOG-Target ist ein Target, dass jedes Paket, das es empfaengt, zum
  syslogd schickt. Im System-Logfile finden sich dann die mitgeloggten
  Pakete.

  Beispiel:


           # Ein paar Variablen setzen, damit das Beispiel deutlich wird
           EXTIF=ippp0
           INTERNALIF=eth0

           # Alle ftp-Zugriffe ins private Netz verbieten und mitloggen
           iptables -t filter -A FORWARD -i $EXTIF -o $INTERNALIF -p tcp --dport 20:21 -j LOG


  Falls nun vom Interface ippp0 ein Zugriff auf einen Rechner erfolgt,
  der hinter dem Interface eth0 steht, der dem Protkoll TCP und den
  Zielports 20 oder 21 (den FTP-Ports) erfolgt, wird dieses Paket
  geloggt. Man muss sich aber merken, dass es nicht weggeworfen wird !
  Dies muesste man im Anschluss noch tun.

  Der dazugehrige Eintrag in /var/log/messeages wird dann in etwa so
  aussehen:


       --- hier einfuegen ---


  88..22..  DDaass UULLOOGG TTaarrggeett

  Das ULOG-Target ist wesentlich flexibler als das LOG-Target. Es tut im
  wesentlichen genau dass, was das LOG-Target auch tut, nur kann man
  sich aussuchen, was mit diesem Paket gemacht werden soll und welches
  Programm das Paket letztendlich bearbeitet. Es ist also nicht, wie
  LOG, auf den syslogd beschrnkt.

  Technisch gesehen schickt das ULOG-Target das Paket an eine lokale
  NETLINK-Multicast Gruppe. Ein beliebiges Programm, dass auf diese
  Gruppe hoert, kann dann das Paket entgegennehmen und etwas tun.

  Das bekannteste Programm, was mit dem ULOG-Target zusammenarbeitet,
  ist sicherlich der ulogd, der "Userspace Logging Daemon".  Ulogd
  arbeitet mit sogenannten Plugins, an die es die Daten weiterreicht.

  88..22..11..  DDaass MMyySSQQLL--PPlluuggiinn

  Das MySQL-Plugin fuer den ulogd ist wohl das momentan beste Plugin,
  dass es gibt. Es schickt die Paketheader nicht in eine Datei, sondern
  direkt ueber IP an einen beliebigen MySQL Datenbankserver. In diesem
  DB-Server gibt es dann eine Datenbank, in der die Tabelle ist, wo die
  Daten hineingeloggt werden.

  88..22..11..11..  KKoonnffiigguurraattiioonn ddeess MMyySSQQLL--PPlluuggiinnss

  88..22..11..22..  KKoonnffiigguurraattiioonn ddeess MMyySSQQLL--DDaatteennbbaannkksseerrvveerrss

  88..22..11..33..  EEiinnffaacchheess PPHHPP--SSccrriipptt ffuueerr ddeenn AAppaacchhee,, uumm LLooggffiilleess aannzzuusseehheenn

  88..22..22..  DDaass llooggeemmuu--PPlluuggiinn

  88..22..33..  DDaass ppwwssnniiffff--PPlluuggiinn

  99..  AAnnggrriiffffssbbeewweerrttuunngg

  99..11..  PPoorrttssccaannnneerr

  99..22..  ""DDeenniiaall ooff SSeerrvviiccee"" AAnnggrriiffffee

  99..22..11..  EEiinnsscchhrraaeekkuunnggeenn ddeess LLooggggiinnggvveerrhhaalltteennss

  99..33..  GGeeggeennmmaassssnnaahhmmeenn

  99..33..11..  SSppeerrrreenn vvoonn NNeettzzeenn uunndd HHoossttss wwaaeehhrreenndd eeiinneess AAnnggrriiffffeess

  1100..  ""SScchhrraaeeggeess RRoouuttiinngg""


  1100..11..  HHiillffee,, mmeeiinn NNaacchhbbaarrnneettzz nnuuttzztt ddiiee SSeellbbeenn IIPP''ss !!

  Genau diesen Fall habe ich schon einmal gehabt, mich auf die
  Hinterbeine gesetzt und doch noch geloest bekommen. Ich werde das
  Script ohne viele Kommentare hier einfuegen - wenn dies jemand
  braucht, wird er dieses Script schon verstehen. Aber grundsaetzlich
  braucht man dafuer das Tool iproute2 und man muss Paketmangeling und
  fwmark-routing im Kernel aktiviert haben. Was noch wichtig ist: Beide
  Netze sind 192.168.0.0/24, und sie verwenden das 192.168.10.0/24'er
  Netz als Dummy-Netz. Wenn also der Rechner 192.168.0.5 den Rechner
  192.168.0.10 im anderen Netz bekommen will, spricht er zu 192.168.10.5
  - dies laesst sich mit einem gut aufgesetzen DNS bewaeltigen, so dass
  der User nicht nachdenken muss.


  #!/bin/bash

  case "$1" in

    start)

         # Zhler fr Klasse C Subnetz auf null setzen
         i=0

         # fwmark Classmark setzen
         iptables -t mangle -A PREROUTING -i eth1 -s 192.168.0.2 \
            -d 192.168.10.0/24 -j MARK --set-mark 0x1
         iptables -t mangle -A PREROUTING -i eth2 -s 192.168.0.0/24 \
            -d 192.168.10.0/24 -j MARK --set-mark 0x2

         # Fr das gesamte Subnetz die D-/ und SNAT Regeln in beide Richtungen
         # aufsetzen

         while [ "$i" != 256 ]
         do
           iptables -t nat -A PREROUTING -i eth1 -d 192.168.10.$i -j DNAT \
              --to-destination 192.168.0.$i
           iptables -t nat -A PREROUTING -i eth2 -d 192.168.10.$i -j DNAT \
              --to-destination 192.168.0.$i
           iptables -t nat -A POSTROUTING -o eth2 -s 192.168.0.$i -j SNAT \
              --to-source 192.168.10.$i
           iptables -t nat -A POSTROUTING -o eth1 -s 192.168.0.$i -j SNAT \
              --to-source 192.168.10.$i
           i=`expr ${i} + 1`
         done
         ;;

     stop)

         # Zhler fr Klasse C Subnetz auf null setzen
         i=0

         # fwmark Classmark setzen
         iptables -t mangle -D PREROUTING -i eth1 -s 192.168.0.2 \
            -d 192.168.10.0/24 -j MARK --set-mark 0x1
         iptables -t mangle -D PREROUTING -i eth2 -s 192.168.0.0/24 \
            -d 192.168.10.0/24 -j MARK --set-mark 0x2

         # Fr das gesamte Subnetz die D-/ und SNAT Regeln in beide Richtungen
         # aufsetzen

         while [ "$i" != 256 ]
         do
           iptables -t nat -D PREROUTING -i eth1 -d 192.168.10.$i -j DNAT \
              --to-destination 192.168.0.$i
           iptables -t nat -D PREROUTING -i eth2 -d 192.168.10.$i -j DNAT \
              --to-destination 192.168.0.$i
           iptables -t nat -D POSTROUTING -o eth2 -s 192.168.0.$i -j SNAT \
              --to-source 192.168.10.$i
           iptables -t nat -D POSTROUTING -o eth1 -s 192.168.0.$i -j SNAT \
              --to-source 192.168.10.$i
           i=`expr ${i} + 1`
         done
         ;;

     *)
         echo "Fehler ! Erlaubte Parameter: (start|stop)"
         exit 1
         ;;

  esac
  exit 0


  1111..  FFiirreewwaallllddeessiiggnn

  1111..11..  NNaacchhddeennkkeenn uueebbeerr SSiicchheerrhheeiitt

  FIXME: das ist fuer Julia :-)

  1111..22..  WWaass bbrraauucchheenn wwiirr,, wwaass iisstt uunnnnooeettiigg,, wwaass ggeeffaaeehhrrlliicchh uunndd uunneerr--
  wwuueennsscchhtt ??

  1111..33..  AAnnssaaeettzzee zzuumm FFiirreewwaallllddeessiiggnn

  1111..33..11..  ""VVeerrbbiieettee aalllleess,, eerrllaauubbee nnuurr wwaass nnooeettiigg iisstt""

  1111..33..22..  ""EErrllaauubbee aalllleess,, vveerrbbiieettee wwaass wwiirr nniicchhtt hhaabbeenn wwoolllleenn""

  1111..44..  ZZuuggeessttaaeennddnniissssee aann MMiittaarrbbeeiitteerr uunndd KKuunnddeenn

  1111..55..  NNaacchhddeennkkeenn uueebbeerr DDaatteennsscchhuuttzz

  1122..  VVPPNN

  1122..11..  IIPPsseecc

  1122..22..  IIPP66

  1122..33..  TTuunnnneelliinngg

  1133..  VVeerriiffiikkaattiioonn ddeess DDeessiiggnn

  1133..11..  PPoorrttssccaann

  FIXME: nmap & co

  1133..22..  PPeenneettrraattiioonn

  FIXME: Liste bekannter Penetrationstools (Nessus und co)

  1133..33..  EExxppllooiittss

  FIXME: was ist ein Exploit ?

  1133..44..  DDeerr RRoouutteerrffaakkttoorr

  FIXME: Was ist ein Smurf ?

  1133..55..  IInnffoo''ss uueebbeerr aakkttuueellllee SSiicchheerrhheeiittsslluueecckkeenn

  FIXME: Hier Liste (CERT, Bugtraq etc)

  1133..66..  EExxtteerrnneess SSiicchheerrhheeiittssccoonnssuullttiinngg

  FIXME: Soll man ?


  1144..  EErrllaaeeuutteerruunngg eeiinneerr bbeelliieebbtteenn FFiirreewwaallllss

  1144..11..  DDiiee SSuuSSEE 77..00 FFiirreewwaallll

  FIXME: Hier die Firewall mit Kommentaren einfuegen. Zu klaeren: Steht
  die unter der GPL ?
  1155..  VVeerrgglleeiicchh vvoonn NNeettffiilltteerr mmiitt kkoommmmeerrzziieelllleenn FFiirreewwaallllss

  1155..11..  FFiirreewwaallll--11 vvoonn CChheecckkppooiinntt

  FIXME: Freiwillige vor !

  1155..22..  CCiissccoo PPIIXX

  FIXME: Freiwillige vor !


  1166..  QQuueelllleenn

  FIXME: Ohhhh jaaaaa, ganz wichtig


  1177..  DDiissccllaaiimmeerr uunndd CCooppyyrriigghhtt

  FIXME: Hier GPL oder diese andere Textsource Lizens rein


  1188..  DDaannkk

  Muss ich wirklich ? ;-)