Markus Bäker » M0n0wall http://www.mbaeker.de Jeder hat es - ich jetzt auch Thu, 22 Jul 2010 18:37:32 +0000 http://wordpress.org/?v=2.9.2 en hourly 1 M0n0wall Goodie http://www.mbaeker.de/2009/05/m0n0wall-goodie/ http://www.mbaeker.de/2009/05/m0n0wall-goodie/#comments Tue, 05 May 2009 16:33:29 +0000 markus http://www.mbaeker.de/?p=104 Als zusätzliches Goodie: M0n0wall kann auch zwischen den Interfacen einTraffic Shapping durchführen. Dabei geht es nicht nur um ein Quality of Service (QoS), sondern es ist auch möglich Paketverluste und eine geringe Bandbreite zu simulieren. Wer also immer mal Replikation über WAN-Strecken oder ähnliches simulieren wollte, hat damit gleich ein kostenloses Tool zu Hand.

Dazu wird eine Pipe zwischen LAN und LAN2 eingerichtet. Auf diese wirkt eine Traffic Shape Regel:

z.B.

  • Bandwidth: 10 KBit/s
  • Delay: 100ms
  • PLR  0.1     (also ca.  jedes 10 Paket geht verloren)

Daraus ergibt sich folgender Ping (man kann ziemlich genau erkennen, wann ich die Regel aktiviert habe):

Antwort von 192.168.58.3: Bytes=1000 Zeit<1ms TTL=127

Antwort von 192.168.58.3: Bytes=1000 Zeit=910ms TTL=127

Antwort von 192.168.58.3: Bytes=1000 Zeit=930ms TTL=127

Zeitüberschreitung der Anforderung.

Antwort von 192.168.58.3: Bytes=1000 Zeit=922ms TTL=127

Antwort von 192.168.58.3: Bytes=1000 Zeit=922ms TTL=127

Antwort von 192.168.58.3: Bytes=1000 Zeit=921ms TTL=127

Antwort von 192.168.58.3: Bytes=1000 Zeit=927ms TTL=127

Antwort von 192.168.58.3: Bytes=1000 Zeit=924ms TTL=127

Zeitüberschreitung der Anforderung.

Wirklich nettes Feature!


]]> http://www.mbaeker.de/2009/05/m0n0wall-goodie/feed/ 0 Firewalltests in VMWare http://www.mbaeker.de/2009/05/firewalltests-in-vmware/ http://www.mbaeker.de/2009/05/firewalltests-in-vmware/#comments Mon, 04 May 2009 17:33:16 +0000 markus http://www.mbaeker.de/?p=102 Um genaue Portangaben bei einer AD Replikation machen zu können, habe ich innerhalb eines VMWare Servers 2.0 eine Testumgebung mit zwei Domänencontroller und einer Firewall dazwischen aufgebaut. Leider ermöglicht VMWare dort nur sehr eingeschränkte Netzwerkeinstellungen (im ESX wäre es einfacher).

Als einfache Firewall nutzte ich M0n0wall: Eine sehr kleiner Linuxfirewall mit vielen netten Features.  Bei VMWare existiert eine fertige Appliance zum herunterladen.

Da ich nur eine interne Netzwerkkarte zur Verfügung hatte, habe ich Monowall drei Netzwerkkarten ins gleiche “Host-Only” Netz gegeben. Eine davon wurde als externes Interface definiert und nicht weiter verwendet – die nächste als internes Interface (LAN) und die letzte als optionales Interface.

Über die Weboberfläche habe ich dann das optionale Interface als LAN2 umbenannt.

LAN hat eine Adresse im Subnetz 192.168.58.0/24 erhalten. LAN2 eine Adresse im Netzwerk 192.168.59.0/24. Die DCs wurden ebenfalls jeweils in unterschiedliche Subnetze gepackt und als Gateway die jeweilige Adresse der Netzwerkkarte von M0n0wall angegeben.

Um die beiden Netzwerkkarten zu verbinden müssen statische Routen in der Firewall hinterlegt werden:

Statische Routen:

Interface Network Gateway Description

LAN2 192.168.58.0/24 192.168.58.15

LAN 192.168.59.0/24 192.168.59.1
Normalerweise gehen Pakete auf diesen internen Routen nicht über die Firewall. Um diese doch zu filtern, ist ein Einstellung zu ändern:

Filtering bridge Enable filtering bridge
This will cause bridged packets to pass through the packet filter in the same way as routed packets do (by default bridged packets are always passed). If you enable this option, you’ll have to add filter rules to selectively permit traffic from bridged interfaces.

Danach gelten auch die Firewallregeln für den Verkehr zwischen LAN und LAN2.

Mit diesem Setup konnte ich dann genau die notwendigen Ports für die Replikation inklusive der festgelegten dynamischen RPC Ports für die AD Replikation und dem FRS ermitteln.


]]> http://www.mbaeker.de/2009/05/firewalltests-in-vmware/feed/ 0