ubuntuusers.de

Hallo Leute,

Ich bin gerade dabei eine Workstation als Stealth-Firewall (Paketfilter auf einer Bridge) einzurichten.
Die Filterregeln sollen auch ipset nutzen.

Nun erhalte ich aber immer, wenn irgendein ipset-Kommando ausgeführt werden soll, die folgende Fehlermeldung:

ipset v2.5.0: Error from kernel: Protocol not available

Wie behebe ich dieses Problem?
Eine Kompilierung des Kernels kommt nicht als Lösung in Frage!

Der verwendete Kernel ist 2.6.32-39-generic-pae aus den Paketquellen.

Grüße

ZaHaDum

Meine bisherigen Nachforschungen hier ergaben, dass dieser Bug anscheinend schon mindestens vier Jahre alt ist, und trotzdem noch in keiner LTS-Version gefixt worden.
Das ist meiner Meinung nach eine mehr als schwache Leistung. 👿

Folgende Kommandos scheinen aber das Problem bei mir gelöst zu haben:

1
2
3
4
5
6
7
8

sudo -s
apt-get install ipset ipset_source
module-assistant prepare
module-assistant build ipset
module-assistant install ipset
modprobe ip_set
echo "ip_set" >> /etc/modules
exit

Unter 12.04 müsste das funktionieren, wenn xtables-addons-dkms installiert ist.

diesch schrieb:

Unter 12.04 müsste das funktionieren, wenn xtables-addons-dkms installiert ist.

Das Paket war nicht installiert.
Jetzt scheint ipset zu funktionieren. 👍
Vielen Dank für diese Hilfe!

ZaHaDum schrieb:

Ich bin gerade dabei eine Workstation als Stealth-Firewall (Paketfilter auf einer Bridge) einzurichten.

Es gibt keine "Stealth Firewall" 😉

mfg Betz Stefan

encbladexp schrieb:

Es gibt keine "Stealth Firewall" 😉

Warum wird dieser Begriff dann immer wieder in der Fachliteratur verwendet? 😉
Auch hier im Wiki wird dieser Begriff für eine derartige Konfiguration verwendet. 😉
Bei einer Stealth-Firewall gibt es keine IP-Adressen, was sie für jede Art von Scan oder Tracer unsichtbar macht, da diese immer auf OSI-Schicht 3 arbeiten. Darum Stealth Firewall.

mfg

ZaHaDum

ZaHaDum schrieb:

Warum wird dieser Begriff dann immer wieder in der Fachliteratur verwendet? 😉

Ich würde dazu eher nicht Fachliteratur sagen.

Bei einer Stealth-Firewall gibt es keine IP-Adressen, was sie für jede Art von Scan oder Tracer unsichtbar macht, da diese immer auf OSI-Schicht 3 arbeiten.

Eine Bridge ist Layer-II, Layer-III wäre schon IP 😉

Was spricht gegen den Einsatz von iptables? Du musst eh drauf Achten richtig tu filtern ansonsten kann man auch eine derart Konfigurierte Bridge erkennen 😉

Was ist das Ziel dieser Bridge?

mfg Betz Stefan

encbladexp schrieb:

ZaHaDum schrieb:

Warum wird dieser Begriff dann immer wieder in der Fachliteratur verwendet? 😉

Ich würde dazu eher nicht Fachliteratur sagen.

"Firewalls mit iptables und Co." von Ralf Spenneberg ist definitiv Fachliteratur. Auch dort wird dieser Ausdruck verwendet.
Er bezeichnet die Kombination aus Paketfilter, IDS und IPS auf einer Bridge. 😉 Das Wiki war hier selbstverständlich nicht als Fachliteratur gemeint, da dieses später genannt wurde. 😉

encbladexp schrieb:

ZaHaDum schrieb:

Bei einer Stealth-Firewall gibt es keine IP-Adressen, was sie für jede Art von Scan oder Tracer unsichtbar macht, da diese immer auf OSI-Schicht 3 arbeiten.

Eine Bridge ist Layer-II, Layer-III wäre schon IP 😉

Auch hier hast du anscheinend den Bezug meiner Aussage falsch verstanden.
Natürlich ist IP auf OSI-Schicht 3. Deshalb ist die Bridge ja auch für Scanner und Tracer unsichtbar, eben weil sie auf OSI-Schicht 2 arbeitet. 😉

encbladexp schrieb:

Was spricht gegen den Einsatz von iptables? Du musst eh drauf Achten richtig tu filtern ansonsten kann man auch eine derart Konfigurierte Bridge erkennen 😉

Was ist das Ziel dieser Bridge?

s.o. (Definition von "Stealth-Firewall")

mfg

ZaHaDum