IPFire Webseite zeitweise auf red freischalten

Ich benutze gerne IPFire, um mal schnell ein Testnetz aufzusetzen. Das red-Interface kommt dann ins vorhandene Gästenetz und das green-Interface stellt das Testnetz dar. Da das Testnetz aber noch keine Computer hat, habe ich nach der Installation keine Oberfläche, um ipfire konfigurieren zu können, da diese standardmäßig nur vom green-Interface aus erreichbar ist. Das kann man aber über einen Einzeiler zeitweise (bis zum nächsten Neustart) ändern, um die Konfiguration über die Management-Oberfläche vornehmen zu können.

Dazu muss man:

  • die IP seines eigenen PCs oder Netzwerkes (hier: 192.168.1.77) und
  • die IP des red-Interfaces der IPFire-Installation (hier: 192.168.0.101) wissen.

Seine eigene IP-Adresse bekommt man über den Befehl ipconfig in einer Kommandozeile unter Windows heraus:

C:\Users>ipconfig

Windows-IP-Konfiguration


Ethernet-Adapter LAN-Verbindung:

   Verbindungsspezifisches DNS-Suffix: domain.local
   IPv4-Adresse  . . . . . . . . . . : 192.168.1.77
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Standardgateway . . . . . . . . . : 192.168.1.1


Dann kann man sich mit dem bei der IPFire-Installation vergebenen Root-Kennwort an der Konsole anmelden und einen iptables-Eintrag vornehmen, der die https-Managment-Webseite auf dem red-Interface freischaltet.

warnung Das sollte man natürlich nur bei internen Netzwerken machen! Wer ipfire als Internet-Zugangsrouter verwendet, schaltet das Management damit in das Internet frei!

iptables -A INPUTFW -s 192.168.1.77/32 -d 192.168.0.101/32 -p tcp -m tcp --dport 444 -j ACCEPT

Erklärung der Parameter:

  • iptables = das Firewall-Programm
  • -A INPUTFW = die Firewall-Kette, in die diese Ausnahme eingetragen wird (werden muss)
  • -s 192.168.1.77/32 = der eine Host (/32) mit der IP 192.168.1.77, der diese Ausnahme nutzen darf (alternativ schaltet man das ganz Sub-Netz frei: -s 192.168.1.0/24)
  • -d 192.168.0.101/32 = die IP-Adresse des red-Interfaces der ipfire-Installation
  • -p tcp -m tcp = es wird das TCP-Protokoll benutzt
  • –dport 444 = der Port, der auf dem red-Interface freigeschaltet wird (standardmäßig verwendet ipfire für das Management per https diesen Port)
  • -j ACCEPT = Datenpakete auf einer Verbindung mit diesen Einschränkungen zulassen.

infoDa diese Konfiguration live vorgenommen und nicht abgespeichert wird, ist diese nach einem Neustart nicht mehr vorhanden! Das ist so gewollt, da die vollständige Konfiguration danach über das Web-Interface erfolgen kann.

Netzwerk-Kategorie in Windows Server 2012 R2 ändern

In Windows Server 2012 R2 ist es leider nicht mehr so einfach über die Oberfläche möglich die Einstufung der Netzwerk-Kategorie zu ändern, wie dies noch unter Windows 7 möglich ist (siehe hier bei TippScout).

Glücklicherweise habe ich in Haikos Blog den entsprechenden Tipp gefunden, wie es über die PowerShell funktioniert:

Get-NetConnectionProfile
Set-NetConnectionProfile –InterfaceInxe # –NetworkCategory Private

Für das #-Zeichen muss der verwendete Index-Wert angegeben werden, den man aus der Ausgabe des ersten Befehls bekommt:

W2k12R2_SetNetConnectionCategory

Danach ist das Netzwerk entsprechend eingestellt …

W2k12R2_NetConnectionCategory

… und es funktioniert auch wieder die Remote-Desktop-Verbindung.

Danke Heiko

Namensauflösung

Bei mir ist es bei mehreren Installationen (einmal Debian Lenny und einmal Ubuntu 10.04) aufgetreten, dass ich bestimmte Hosts aus internen Netzwerken nicht per Ping oder http erreichen konnte. Die Namensauflösung per nslookup oder dig war aber in Ordnung.

Durch einen Interneteintrag kam ich auf die Lösung. In der Konfigurationsdatei für den „Name Service Switch“ /etc/nsswitch.conf war die Auflösung per DNS für Hostnamen erst nach einer Abbruchbedingung angegeben:

Server:~# cat /etc/nsswitch.conf
# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.
 
passwd: compat
group: compat
shadow: compat
 
hosts: files mdns4_minimal [NOTFOUND=return] dns mdns4
networks: files
 
protocols: db files
services: db files
ethers: db files
rpc: db files
 
netgroup: nis

Kaum hatte ich die entsprechende Zeile abgeändert, funktionierte es tadellos.

hosts: files dns mdns4_minimal [NOTFOUND=return] mdns4

Netzwerkkarte(n) konfigurieren

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
 
# The loopback network interface
auto lo
iface lo inet loopback
 
# The primary network interface
allow-hotplug eth0
iface eth0 inet dhcp
 
# The secondary network interface
auto eth1
iface eth1 inet static
    address 192.168.0.10
    netmask 255.255.255.0
    gateway 192.168.0.254
    broadcast 192.168.0.255
    network 192.168.0.0