BOT - FAQ (Häufig gestellte Fragen)
 
   

Überblick

1 - Welches ist die Admin MAC Adresse? Die meines IPCop oder die meines Client PCs?

2 - Kann BlockOutTraffic so eingrichtet werden, dass es mehr als einem PC aus dem grünen Netz gestattet, auf das Webinterface zuzugreifen? Anders gefragt: Ist es möglich, mehr als einen "Admin" zu haben?

3 - Warum muss ich die Administations-MAC und den HTTPS-Port angeben?

4 - Ich habe die falsche MAC-Adresse angegeben und bin nun aus meinem IPCop ausgesperrt!

5 - Wenn ich BOT einschalte, ist der Dienst XYZ nicht mehr verfügbar/erreichbar und ich weiss nicht, was ich falsch mache?!?

6 - Ich kann das gewünschte Protokoll und den Port nicht angeben!

7 - Warum wird OrangeAsGreen ab IPCop 1.4 nicht mehr mitgeliefert bzw. warum ist es nicht mehr verfügbar?

8 - Ich habe ein IPCop-Update installiert und jetzt ist BOT plötzlich nicht mehr über die Weboberfläche verfügbar!

9 - Ich will den (transparenten) Proxy des IPCop nutzen. Welche Regel(n) brauche ich?

10 - Ich habe einige Port-Weiterleitungen vom Internet auf interne PCs. Muss ich zusätzliche Regeln erstellen, um diesen PCs Antworten auf Anfragen zu gestatten?

11 - Ich bin nicht sicher ob alle BOT Regeln richtig erstellt worden sind, wie kann ich mir alle zu BOT gehörenden Regeln anzeigen lassen?

12 - Das IPCop Backup sichert das Verzeichnis /var/ipcop/fwrules nicht mit, so wie ich das gerne hätte. Das Verzeichnis ist sogar in der Datei /var/ipcop/backup/exclude.user vom Backup ausgeschlossen. Warum ist das den so?

13 - Ich möchte meinen IPCop Fernwarten und habe dafür einen Zugriff im IPCop "Fernwartungs Zugang" eingerichtet. (Oder "Ich habe eine BOT erlauben Regel für den Dienst XY angelegt.") Aber sobald ich BOT aktiviere, funktioniert die Fernwartung (oder der Dienst XY) nicht mehr. Die BOT FAQ #5 hilft mir nicht weiter. Was ist verkehrt?

14 - Wenn ich in einer Regel den Zugriff mit einer Custom [IP] Adresse einschränken möchte, dann können aber trotzdem alle PCs/IPs im Lan diese Regel nutzen, nicht nur die IP in der Custom Adresse. Was habe ich den falsch gemacht?


1 - Welches ist die Admin MAC Adresse? Die meines IPCop oder die meines Client PCs?
Es ist die Ihres Client PCs, von dem aus Sie Ihren IPCop administrieren.
top

2 - Kann BlockOutTraffic so eingrichtet werden, dass es mehr als einem PC aus dem grünen Netz gestattet, auf das Webinterface zuzugreifen? Anders gefragt: Ist es möglich, mehr als einen "Admin" zu haben?
JA, das ist möglich. Erstellen Sie eine 'IPCop Zugriff' Regel für jeden Admin.
top

3 - Warum muss ich die Administations-MAC und den HTTPS-Port angeben?
BOT sperrt standardmäßig alles, auch den Zugang zur IPCop Weboberfläche. Gäbe es keine solche Admin-Regel, wären Sie in diesem Falle ausgesperrt und könnten nicht mehr auf die Weboberfläche zugreifen.
top

4 - Ich habe die falsche MAC-Adresse angegeben und bin nun aus meinem IPCop ausgesperrt!
Melden Sie sich lokal (mit angeschlossenem Monitor und Tastatur) an Ihrem IPCop an. Nachdem Sie angemeldet sind, geben Sie Folgendes ein:
iptables -F BOT_INPUT # iptables -F CUSTOMINPUT für ältere BOT Versionen
Dies leert alle IPCop Zugriffs- und DENY-Regeln. Nun können Sie sich wieder über die Grafische Benutzeroberfläche anmelden, BOT abschalten und die Admin-MAC korrigieren.

top

5 - Wenn ich BOT einschalte, ist der Dienst XYZ nicht mehr verfügbar/erreichbar und ich weiss nicht, was ich falsch mache?!?
BOT sperrt alles, was nicht ausdrücklich erlaubt wurde. Aktivieren Sie die Protokollierung aller Pakete, auf die keine BOT-Regel gepasst hat. Schalten Sie BOT ein und probieren Sie den Dienst XYZ noch einmal aus. Dann schauen Sie in den IPCop Firewall Protokollen unter "WebGUI -> Logs -> Firewall Logdateien" nach um Hinweise darauf zu erhalten, welche Regeln fehlen. Damit sollten Sie in der Lage sein, die fehlende Regel zu erstellen.
top

6 - Ich kann das gewünschte Protokoll und den Port nicht angeben!
Sie sollten einen benutzerdefinierten Dienst unter "Erweiterte BOT Konfiguration" erstellen. Diesen können Sie dann bei der Regelerstellung auswählen.
top

7 - Warum wird OrangeAsGreen ab IPCop 1.4 nicht mehr mitgeliefert bzw. warum ist es nicht mehr verfügbar?
Ab Version 1.4 kann dazu BLAU anstelle von ORANGE verwendet werden. Für BLAU ist der Web-Proxy verfügbar, daher ist das zusätzliche Modul nicht mehr notwendig. Für vollständige BlauAlsGrün-Unterstützung müssen nur die Zugriffe von GRÜN -> BLAU und von BLAU -> GRÜN gesperrt werden. Dies ist bei der Regelerstellung von BOT nun möglich.
top

8 - Ich habe ein IPCop-Update installiert und jetzt ist BOT plötzlich nicht mehr über die Weboberfläche verfügbar!
Das Update hat die Datei header.pl oder die Sprachdateien überschrieben. Dies hat BOT aus dem Menü geworfen oder seine Spracheinträge entfernt. Derzeit gibt es als Lösung für dieses Problem keinen anderen Weg als BOT zu entfernen und wieder neu zu installieren. Dabei verlieren Sie Ihre BOT-Regeln nicht, denn die Einstellungen werden automatisch gesichert und wiederhergestellt.
top

9 - Ich will den (transparenten) Proxy des IPCop nutzen. Welche Regel(n) brauche ich?
Nur eine "IPCop Zugriff"-Regel wird benötigt. Diese Regel muss den Zugriff zum IPCop auf den Proxy-Port (Standard ist 800) zulassen. Die einfachste Möglichkeit ist, einen Benutzerdefinierten Dienst für TCP und den Proxy-Port unter "Erweiterte BOT Konfiguration" anzulegen. Nun können Sie den Benutzerdefinierten Dienst bei der Regelerstellung auswählen.
Unabhängig davon, ob Sie den Proxy transparent oder nicht benutzen, müssen Sie den Proxy-Port benutzen. Es ist NICHT erforderlich, eine HTTP (Port 80) Regel zur Nutzung des Proxy zu erstellen!

top

10 - Ich habe einige Port-Weiterleitungen vom Internet auf interne PCs. Muss ich zusätzliche Regeln erstellen, um diesen PCs Antworten auf Anfragen zu gestatten?
Nein, Sie müssen nur die Option "Erlaube related, established Verbindungen" unter "BlockOutTraffic Konfiguration" aktivieren. Diese Regel erlaubt den PCs, Antworten auf bestehende (per Port-Forwarding hereinkommende) Verbindungen nach außen zu senden.
HINWEIS:
Sie sollten Port-Weiterleitungen immer von außen testen, niemals von innen! IPCop ohne BOT hat eine Regel zum Testen von innen, diese Regel funktioniert jedoch nicht mehr, wenn BOT aktiv ist. Fragen Sie einen Bekannten, ob er Ihnen beim Test behilflich ist oder verbinden Sie sich (ggf. per VNC oder Remote Desktop) von einem PC AUßERHALB Ihres lokalen Netzes mit Ihrem Dienst, um ihn zu testen.

top

11 - Ich bin nicht sicher ob alle BOT Regeln richtig erstellt worden sind, wie kann ich mir alle zu BOT gehörenden Regeln anzeigen lassen?
Auf der Kommandozeile anmelden und folgendes eingeben:

iptables -nvL CUSTOMFORWARD && \
iptables -nvL CUSTOMINPUT && \
iptables -nvL BOT_FORWARD && \
iptables -nvL BOT_INPUT
Jetzt sollten alle iptables Regeln von BOT angezeigt werden. In den CUSTOM* Chains sollten die beiden BOT_* Einträge vorhanden sein. In den BOT_* Chains sind alle von BOT erstellten iptables Regeln aufgelistet.
top

12 - Das IPCop Backup sichert das Verzeichnis /var/ipcop/fwrules nicht mit, so wie ich das gerne hätte. Das Verzeichnis ist sogar in der Datei /var/ipcop/backup/exclude.user vom Backup ausgeschlossen. Warum ist das den so?
Es hat einen einfachen Grund: Wenn das Backup die BOT Konfiguration mit sichern würde und Sie würden IPCop 'B' mit der Konfiguration von IPCop 'A' installieren, wären die BOT Dateien von 'A' auf 'B' (vielleicht wollen Sie genau das, ich werde aber beschreiben warum ich das nicht möchte).
Wenn Sie jetzt:
  1. ... BOT nicht auf 'B' installieren, wären die Dateien trotzdem vorhanden, sie sind dann überflüssiger 'Abfall'.
  2. ... auf 'B' BOT installieren, würde BOT bei der Installation die vorhandenen Dateien bemerkten und annehmen, dass BOT schon installiert ist, ob wohl es nicht installiert ist. Ausserdem würde es auch nicht funktionieren, wenn die Dateien von einer älteren BOT-Version stammen als Sie gerade auf 'B' installieren möchten.
Wenn Sie die BOT Konfiguration von einem IPCop auf einen anderen kopieren möchten, dann schauen Sie sich das Vorgehen bei den Tips und Tricks an.
top

13 - Ich möchte meinen IPCop Fernwarten und habe dafür einen Zugriff im IPCop "Fernwartungs Zugang" eingerichtet. (Oder "Ich habe eine BOT erlauben Regel für den Dienst XY angelegt.") Aber sobald ich BOT aktiviere, funktioniert die Fernwartung (oder der Dienst XY) nicht mehr. Die BOT FAQ #5 hilft mir nicht weiter. Was ist verkehrt?
Prüfen Sie, ob Sie eigene Block Regeln über den BOT Rule-Creator angelegt haben. Zum Beispiel zum Firewall-Log Einträge minimieren. Vermutlich sperren Sie die Fernwartung (oder Dienst XY) mit einer solchen Block Regel.
top

14 - Wenn ich in einer Regel den Zugriff mit einer Custom [IP] Adresse einschränken möchte, dann können aber trotzdem alle PCs/IPs im Lan diese Regel nutzen, nicht nur die IP in der Custom Adresse. Was habe ich den falsch gemacht?
Sie haben die IP Adresse mit einer anderen Subnetzmaske als /32 oder 255.255.255.255 definiert. Wenn Sie also die IP 192.168.0.5 und einer Maske von 255.255.255.0 eingegeben haben, dann trifft diese Regel auf alle IPs in 192.168.0.* zu. Einfach die Custom Adresse bearbeiten und die Subnetzmaske auf 32 oder 255.255.255.255 setzen und das Problem ist behoben.
top

FAQ zuletzt geändert 10. Oktober 2007

IPCop - The Bad Packets Stop Here

BlockOutTraffic - The Firewall WebGUI Addon for IPCop


 
  Created 2006 by dotzball | Design by wintermute