Ports nur lokal oeffnen (z.B. remote login via ssh)

[Wile E.]

Hallo,
mal ne kleine Frage zur Netzwerkeinrichtung, man moege mich verschieben, falls ich hier falsch bin:

Ich moechte in meinem Heimnetzwerk die Rechner gegenseitig fuer solche Dinge wie "Entfernte Anmeldung" (remote login / ssh) und "Personal file sharing" (nein, nicht Raubkopieren, sondern afp: ) oeffnen, aber so, dass dies nur fuer mein lokales Subnetz (Bsp. 192.168.1.*) zugaenglich ist, nicht aber fuer das ganze Internet, sobald ich eingewaehlt bin. Das geht doch sicher irgendwie, oder? Ich find das nicht, waer nett, wenn mir wer nen Tip geben wuerde.

Danke
Wile

 

[xenayoo]

Wie geht dein lokales Netz denn Online?

 

[Pingu]

Der Tip wäre: ipfw

Also ich habe dies ähnlich gemacht. Ich habe ein Windows XP in VirtualPC laufen mit dem ich auf das lokale Netz zugreifen möchte. Allerdings möchte ich nicht, das Windows XP oder andere Programme aus Windows XP heraus aufs Internet zugreifen können. Also habe ich mir ein paar ipfw zusammengestellt, die dies ermöglichen. Für die Regeln habe ich ein Script geschrieben, welches bei jedem Rechnerstart ausgeführt wird.
Nachteil dieser Lösung: die Mac OS X eigene Firewall (die auf ipfw basiert) meint immer es läuft eine andere und wird deaktiviert. Deswegen muß man ab dann immer alles über das Terminal machen.

Pingu

EDIT: Zum Beispiel die Regeln für VirtualPC innerhalb des Netzes 192.168/16:

##
# Enable lokal net only for VirtualPC aka Windows
##
/sbin/ipfw add 0010 skipto 0051 tcp from 192.168.0.1/16 to 192.168.0.1/16 29000-29500
/sbin/ipfw add 0011 skipto 0051 udp from 192.168.0.1/16 to 192.168.0.1/16 29000-29500
/sbin/ipfw add 0012 deny tcp from any to any 29000-29500
/sbin/ipfw add 0013 deny udp from any to any 29000-29500

 

[Wile E.]

Wie geht dein lokales Netz denn Online?

Der im Netz aus Macs und Linuxrechnern befindliche Mini geht via ISDN-"Modem" (USB) online.

Ich bin gerade quasi im Aufbau, wollte dann auch den anderen Rechnern per "Internet Sharing" Netzzugang auf dem Weg ermoeglichen, hab allerdings noch nicht raus, ob das so vom Provider her ok geht (funktionieren tut es). (Dann muss ich nur noch loesen, von beliebigen Rechnern die Leitung auf und Abbauen zu koennen, aber das ist ein anderes Thema.)

@pingu: Die Loesung mit ipfw sieht doch ganz gut aus, das schau ich mir mal an. Ich dachte nur, OSX bietet mir dafuer direkt eine Moeglichkeit an. (Ich versuche immer, erst die OSX-UI-Moeglichkeiten zu nutzen, um auch ein bisschen das System zu entdecken.)

Wile

 

[xenayoo]

Pingu: Wenn WindoofXP keinen Standardgateway hat, kommt es auch nicht ins Internet - egal wie die übrigen Einstellungen sind.....

 

[xenayoo]

Der im Netz aus Macs und Linuxrechnern befindliche Mini geht via ISDN-"Modem" (USB) online.

Ich bin gerade quasi im Aufbau, wollte dann auch den anderen Rechnern per "Internet Sharing" Netzzugang auf dem Weg ermoeglichen, hab allerdings noch nicht raus, ob das so vom Provider her ok geht (funktionieren tut es). (Dann muss ich nur noch loesen, von beliebigen Rechnern die Leitung auf und Abbauen zu koennen, aber das ist ein anderes Thema.)

Wile

Ah so, hier gilt eigentlich das Gleiche: Wenn du die IPs statisch vergibst, aber die Router-Adresse leer läßt, ist das erreicht...

 

[Incoming1983]

wie gepostet:

ipwf inbound -> deny any
ipwf inbound -> allow ssh, xxx, yyy vom Subnetz, in dem du hockst.

die Syntax findest du in jeder gutsortierten Manpage bzw. Tutorial ;-)

 

[Pingu]

Pingu: Wenn WindoofXP keinen Standardgateway hat, kommt es auch nicht ins Internet - egal wie die übrigen Einstellungen sind.....

Das ist zwar richtig. Aber dann müßte ich alle IPs und alles von Hand vergeben. So kann ich über all sonst die Standardeinstellungen belassen, die da auf DHCP lauten. Vorallem wenn man ständig in verschiedenen Netzen unterwegs ist (in Minimum Firmennetz und Heimnetz). Denn dadurch wird alles bereits so früh wie möglich geblockt.

Pingu

 

[Incoming1983]

Pingu: Wenn WindoofXP keinen Standardgateway hat, kommt es auch nicht ins Internet - egal wie die übrigen Einstellungen sind.....

Doch, das könnte gehen, wenn die Subnetzmaske von des Windows nur einen Hostanteil beinhaltet, und der router einen arpdaemon laufen hat.

Habs allerdings noch nicht ausprobiert.

 

[Wile E.]

Ah so, hier gilt eigentlich das Gleiche: Wenn du die IPs statisch vergibst, aber die Router-Adresse leer läßt, ist das erreicht...

Aeh, ich wollte verhindern, dass was von draussen reinkommt, nicht umgekehrt.

@incoming: Danke, ich schaus mir nachher an. Ja, man-Pages kann ich lesen.

Wile

 

[maceis]

Pingu: Wenn WindoofXP keinen Standardgateway hat, kommt es auch nicht ins Internet - egal wie die übrigen Einstellungen sind.....

Ich weiss nicht genau, wie das bei Windows bzw. mit einem DSL Modem ist, aber unter Mac OS X funktioniert Layer zwei Routing und die Rechner kommen trotzdem ins Internet .
Sollte man also ausprobieren. (ach, ich lese gerade, dass Incoming das schon erwähnt hat)

Ziel war aber doch gerade (wenn ich es richtig verstanden habe), dass die Rechner aus dem LAN ins Internet kommen.

Wenn auf dem Rechner, der mit dem DSL Modem verbunden ist, Dienste gestartet werden, sind diese zunächst mal auf allen Interfaces (also auch übers Internet) erreichbar.

Eine einfache Lösung mit Hilfe der ipfw wäre meiner Ansicht nach:

01990 allow ip from any to via ppp0 out
01991 allow ip from any to any established via ppp0
01992 deny ip from any to any via ppp0

Damit sind über das ppp0 Interface nur noch Verbindungen möglich, die von innen initiiert wurden.

Die übrigens Regeln dürfen natürlich nicht gelöscht werden.
wie Pingu schon angedeutet hat, ist es sinnvoll, die Regeln beim Systemstart skriptgesteuert zu laden.

 

[Wile E.]

wie Pingu schon angedeutet hat, ist es sinnvoll, die Regeln beim Systemstart skriptgesteuert zu laden.

Wo baut man das beim Mac am besten ein?

Wile

 

[maceis]

Bis 10.3 bastelt man dazu ein /
wenn die DevTools installiert sind ->StartupItem
online ->StartupItem.

Ab 10.4 kann man alternativ dazu (und bevorzugt) mit launchd arbeiten.

man launchd
launchd.plist
man launchctl

Ist einfacher als es auf den ersten Blick aussieht.