Firewall - Hva betyr dette ??

jeg vil tro at det bare er dit subnet og din broadcast adresse du skal definere.
fx: ved en cc router får man via dhcp:
ip: 10.0.0.2
subnet: 255.255.255.0
broadcast: 10.0.0.255

Nei, tror det i dette tilfellet er mere komplisert enn dette.
Det står ikke "subnet maske" men der i mot "segment base adress".

Jeg har forstått det slik at dersom man abonerer på for eksempel 4 ip adresser fra en isp så går 2 av dem tapt, en brukes som "subnet base address" og en brukes som "segment broadcast adress". De 2 andre har man muliggens til ens egen disposisjon.

Tror det har noe med de problemstillingene her å gjøre:
http://www.eksperten.dk/spm/283085

Men, men, men mon har jeg faktisk fått svaet før, det er bare jeg som er for sløv til å huske og forstå ...

Tja, jaa, det er ikke helt det samme scriptet ..
(På tide å rive seg litt i håret ??)

Noen flere opplysninger:

Jeg har to forewalls koplet i serie. Den første er en stateless "statisk" firewall innebygget i et Netopia adsl modem/router/firewall. Denne har en ekstern tildelt ip og en intern ip som er 10.0.0.1

Bak denne følger Linux maskinen som er satt opp som router/server/firewall med statefull eller "dynamisk" firewall basert på iptables. Ekstern ip for denne er 10.0.0.2 og intern ip er 192.168.0.1

(Dynamisk = den kan holde styr på og lukke opp for inngående trafikk som kommer som følge av trafikk som først er generert inne fra LAN. Defor er Linux firewallen mere avansert enn den filtering firewall som finnes inne i adsl modemet.)

forewalls = firewalls

base: An registration for the base address of a subnet should be set to the "base" mode. MAC Address is not required; IP and Hostname are. These will be handled slightly differently in DHCP and DNS generation.

broadcast: Similar to 'base', this mode is for addresses that are the broadcast addresses for a subnet.

fra: http://www.net.cmu.edu/netreg/manual/005.html

---------------------

http://www.ucs.ed.ac.uk/nsd/nsd-tn9.html << sektion 3.1


efter hvad jeg kan se er det (igen ved eksempel fra cc m. router) 10.0.0.0 som skal sættes ind.
den definerer hvilket net den sidder på.
se evt: http://www.cin.ufpe.br/~lcl2/firewall/gateway_firewall_3.htm

Dog er jeg ikke helt sikker.

det sidste link er faktisk dit første link i udfyldt form.

Jo se her, fra din midterste link:

A subnet is defined by a base address and a mask.  These are normally expressed as groups of 4 decimal numbers between 0 and 255, but they represent single 32-bit binary numbers.  Each decimal number represents an 8-bit byte or octet.  Here are the base address 129.215.200.0 and the mask 255.255.255.0 and their binary representations:

SUBNET_BASE skal være det man i daglig tale kalder netID alla 10.0.0.0 hvis det er oz2kas' eksempel

"Thus 129.215.200.0/23 defines a range of 510 usable addresses from 129.215.200.1 to 129.215.201.254.  Note that 129.215.200.255 and 129.215.201.0 are valid addresses."

Slik at 129.215.200.1 blir base adress ?, nei denne skal vel være "usable, da er det vel 129.215.200.0 som er base address og 129.215.201.255 som blir broadcast adress. Derfor blir både 129.215.200.255 og 129.215.201.0 til alminnelige "gyldige" addresser ? Mon jeg har forstått det rett ?

Skal på jobb nå, men vil kikke på det litt senere i dag :-)

skvat -> tror du har helt rett, problemet er bare når nummerseriene er noe annet enn de ordinære interne adresseseriene. (Men jeg er heller ikke helt klar over foreløpig om det er base_adress ut fra ISP eller ut fra adsl modem jeg skal bruke i denne sammenheng. Hvis det er 10'er serien så er det vel greit nok .. ??)

Fant ellers noen bra beskrivelser her:
http://www.cisco.com/univercd/cc/td/doc/cisintwk/ito_doc/ip.htm
http://www.cisco.com/univercd/cc/td/doc/cisintwk/ito_doc/
(Greit å få samlet noen linker for senere referanse.)

Denne seksjonen i firewall har nok å gjøre med ip adresser som har forfalskede eller "umulige" avsender adresser å gjøre, drop og loggfør dem:

###############################################################
# Source Address Spoofing and Other Bad Addresses

# Refuse spoofed packets pretending to be from
# the external interface's IP address
iptables -A INPUT  -i $INTERNET -s $IPADDR -j DROP

# Refuse packets claiming to be from a Class A private network
iptables -A INPUT  -i $INTERNET -s $CLASS_A -j DROP

# Refuse packets claiming to be from a Class B private network
iptables -A INPUT  -i $INTERNET -s $CLASS_B -j DROP

# Refuse packets claiming to be from a Class C private network
iptables -A INPUT  -i $INTERNET -s $CLASS_C -j DROP

# Refuse packets claiming to be from the loopback interface
iptables -A INPUT  -i $INTERNET -s $LOOPBACK -j DROP

# Refuse malformed broadcast packets
iptables -A INPUT  -i $INTERNET -s $BROADCAST_DEST -j LOG
iptables -A INPUT  -i $INTERNET -s $BROADCAST_DEST -j DROP

iptables -A INPUT  -i $INTERNET -d $BROADCAST_SRC  -j LOG
iptables -A INPUT  -i $INTERNET -d $BROADCAST_SRC  -j DROP 

if [ "$DHCP_CLIENT" = "0" ]; then
    # Refuse directed broadcasts
    # Used to map networks and in Denial of Service attacks
    iptables -A INPUT -i $INTERNET -d $SUBNET_BASE -j DROP
    iptables -A INPUT -i $INTERNET -d $SUBNET_BROADCAST -j DROP

    # Refuse limited broadcasts
    iptables -A INPUT -i $INTERNET -d $BROADCAST_DEST -j DROP
fi


Når det gjelder den konkrete problemstillingen, så vil jeg vel mene at det er lite trolig at subnet_base eller subnet_broadcast addresserte ip pakker vil nå gjennom den første adsl firewall og inn til Linux firewall. For den konkrete situasjon så blir vel den subnet_base adresse som bør filteres bort 10.0.0.0 og subnet_broadcast tilsvarende 10.0.0.255

Mener problemstillingen stort sett er løst. Kan dere ikke legge et par svar. Linker og forslag har faktisk vært til en hel del hjelp. Tror ikke jeg deler ut alle ponegene, men i hvert fall noen. "0" blir for lite !

test firewall

test2

test3

test4

test5 - unskyld - mistet kontakten med experten under uttesting av firewall !

test6

Ja, ja, takk for hjelpen. Synes jeg faktisk fikk hjelp.