Ariel-Firewall

Aus DebianforumWiki
Wechseln zu: Navigation, Suche

Osiris kann nicht mit der Welt reden, er kann nur mit Ariel kommunizieren. Ariel könnte man unsere Firewall nennen.

Tsutomu Shimomura (jap. 下村 努) in Takedown – Sie dachten, Computer wären sicher; Originaltitel: Takedown.

Updates bekommt Osiris via apt-chacher-ng, einem APT-Proxy und optional kann man Verbindungen über einen DNS-Proxy wie dnsproxy und einen SOCKS-Proxy wie dante-server für bestimmte Webseiten usw. einrichten. Mittlerweile bieten Anwendungen wie Firefox und Thunderbird aber auch die Option DNS über SOCKS5 an, so dass es dann keinen DNS-Proxy benötigt. Will man dies, kann man auch einen transparenten Proxy (transproxy) einrichten, dann braucht es in den Anwendungen keine SOCKS-Proxy Unterstützung.

Für Ariel kann man gut einen Raspberry Pi mit LAN und WiFi hernehmen. Das WiFi verbindet sich mit der Welt und über das LAN-Kabel wird eine direkte Kabelnetzwerk-Verbindung mit Osiris hergestellt (Dafür sind Heute keine Crossover Patch-Kabel mehr nötig).

Wichtig ist hier Ariel nicht als Router mit forwarding, (S)NAT/masqerade usw. einzurichten.

Ariel

wpa_supplicant.conf.5

ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=netdev
update_config=1
network={
	ssid="My WiFi AP SSID"
	psk="secret passphrase"
}

interfaces.5

auto eth0
iface eth0 inet static
	metric 1
	address 192.168.78.1/24
	gateway 192.168.78.2
auto wlan0
iface wlan0 inet dhcp
	metric 0 
	wpa-conf /etc/wpa_supplicant/wpa_supplicant.conf

apt-cacher-ng

apt install apt-cacher-ng 

Mehr an Konfiguration ist auf Ariel nicht nötig.

dante-server

apt install dante-server

danted.conf.5

# logging
logoutput: syslog stdout # /var/log/sockd.log
# server address specification
internal: eth0 port = 1080
external: wlan0
# server identities (not needed on solaris)
user.privileged: debian-dante
user.notprivileged: debian-dante
clientmethod: none
socksmethod: none
# client access rules for address-range on internal nic.
client pass { from: 0/0 to:0/0 }
# This matches "example.com" itself and everything ending in ".example.com".
socks pass { from: 0/0 to: .debianforum.de }
socks pass { from: 0/0 to: .debian.net }
socks pass { from: 0/0 to: .debian.org }
socks pass { from: 0/0 to: .wikipedia.org }
# block any other connects.
socks block { from: 0/0 to: 0/0 log: error connect }

dnsproxy

apt install dnsproxy

transproxy

redsocks

apt install redsocks

iptables

Der redirect selbst muss mit iptables umgesetzt werden.

Osiris

interfaces.5

auto eth0
iface eth0 inet static
	metric 1
	address 192.168.78.2/24
	gateway 192.168.78.1
	#nameservers 192.168.78.1

sources.list.5

Die sources.list.5 anpassen: file:///usr/share/doc/apt-cacher-ng/html/config-servquick.html#config-client

Der apt-cacher-ng unterstützt auch andere Domains/Fremdquellen.

dante-client

apt install dante-client

socksify.1

Eine Laufzeitsockifizierung ausgewählter Programme.

Die Variablen SOCKS_SERVER, SOCKS4_SERVER und SOCKS5_SERVER ermöglichen die Angabe der Adresse des Servers ohne Verwendung der Datei socks.conf. Wenn eine socks.conf-Datei vorhanden ist, wird sie ignoriert, wenn eine dieser Variablen gesetzt ist. Wenn der Wert SOCKS_SERVER festgelegt ist, zeigt dies an, dass der angegebene Server alle von Dante unterstützten Socks-Versionen unterstützt. Wenn eine der beiden anderen Variablen verwendet wird, zeigt dies an, dass der angegebene Socks-Server nur die entsprechende Socks-Version, v4 oder v5, unterstützt. Beachten Sie, dass Sie SOCKS5_SERVER verwenden müssen, wenn der Socks-Server eine Authentifizierung erfordert, da v4 keine Authentifizierung unterstützt.

env SOCKS_SERVER="192.168.78.1:1080" socksify wget https://www.example.net

Weblinks