Suse 9.1 als Router/Server, ein paar Fragen.

Servus leute,

ich bin im Moment damit beschäftigt für ein Jugendhaus, in dem ich Zivildienst mache, einen Linuxrechner einzurichten der zunächst nur als Router, später aber evtl. auch als File/Printer-Server in einem Windows Netzwerk fungieren soll.

Also folgendes gemacht:

1 Rechner genommen, 2 Netzwerkkarten eingebaut.
SUSE 9.1 Prof installiert, ohne jegliche grafische Oberfläche
Anschließend mit Yast:
Erste Netzwerkkarte eth1 mit fester IP (192.168.1.1) konfiguriert und DHCP darüber laufen lassen, funzt --->Windows Rechner bekommen ne IP, Ping geht.
Internetverbindung dsl0 läuft über zweite Netzwerkkarte eth0, funzt auch.
Letztendlich noch den Drucker installiert.
Nun zunächst mal ein paar kurze Fragen:

1. Ich hab die Netzwerkkarte über welche die Internetverbindung läuft auf DHCP eingestellt, nun kommt beim booten immer die Meldung die schnittstelle konnte nicht eingerichtet werden da kein DHCP-Server gefunden wurde (logisch). Die DSL Verbindung geht aber. Kann ich der Karte eth0 auch ne feste IP zuordnen damit diese Meldung am anfang nicht mehr kommt, und DSL trotzdem geht?

2. Die Windows Rechner kommen noch nicht ins Netz. Was muss ich bei Yast genau einstellen damit die zumindest auf Http Seiten zugreifen können. Es sollte funktionieren ohne grossartig Einstellungen am Client zu ändern. Also dass man auch einfach seinen Laptop anschliessen kann und es geht.

3. Druckerfreigabe für die Windowsrechner. Ich hab in Yast den Samba Server eingestellt und angegeben dass die installierten Drucker auch freigegeben sind. Die Windows Rechner finden den Pinguin auch im Netz, aber ich seh keinen Drucker. Muss ich auf jeden Fall einen Samba Benutzer anlegen?

Die erste Frage ist nicht sooo wichtig, die zweite hat die höchste Priorität für mich. Die Suchfunktion hat mir hier leider nicht so wirklich weitergeholfen.
Es ist mir wichtig dass sämtliche Einstellungen mit Yast vorgenommen werden, weil das Tool am besten für die Sozialarbeiter da geeignet ist (ausser einem kennen die sich mit PC nunmal nicht so wirklich gut aus, Linux is höhere Wissenschaft für die ), und dass man auf der Clientseite so wenig wie möglich einstellen muss damit alles funktioniert. Da hab ichs leichter alles zu erklären.

Wahrscheinlich sind die Lösungen nicht wirklich schwierig, aber ich bin auch net wirklich ein Linux Profi, ich darf dass nur machen weil ich halt am meisten ahnung von PCs da im Haus hab

Also ich hoffe mir kann da jemand helfen.

Danke schonmal für eure Antworten.

Hy, schau mal hier:
http://www.vgasoft.de/modules/Gallery/view_album.php?set_albumName=linux
Steht auch oben als "Screenshot-Galerie"
Und dann Firewall mit NAT.
Mit yast von der Console gehts auch. Aber um die Wall anständig einrichten zu können wirst du um den sysconfig-editor/Netzwerk/Firewall2 nicht herumkommen. Die Einträöge sind aber gut kommentiert.

Grüße

Also ich hab das so gemacht wie auf den Bildern, in den Sysconfig Editor hab ich auch schon ma reingeschaut.
Dann hab ich anhand diesen Threads:
http://www.linux-club.de/viewtopic.php?t=2059
dort ein paar Einstellungen vorgenommen. Jemand hat dort seine Config Datei gepostet, die hab ich mal übernommen. Aber ich komm mit dem Windows Rechner ums verrecken nicht ins Internet. Der IE kann einfach keine Seite öffnen :? .

Hier die Config an der ich mich orrientiert hab:

http://mitglied.lycos.de/bomber8475/linux/SuSEfirewall2.html

mach ma auf der kommandozeile folgendes:

cat /proc/sys/net/ip_forward

kommt als ausgabe 0 zurück so ist forwarding deaktiviert, dann musst du mit

echo "1" > /proc/sys/net/ipv4/ip_forward

das routing aktivieren.....

besser du setzt noch folgendes: echo "2" > /proc/sys/net/ipv4/ip_dynaddr

und echo "1" > /proc/sys/net/ipv4/tcp_syncookies


außerdem musst du den verkehr vom lan ins www mit der externen ip deines linux-routers tarnen:

iptables -t nat -A POSTROUTING -o ppp0 -d 0/0 -j MASQUERADE

ich denke so sollte es funktionieren......


ach ja....du übergibst in den dhcp-leases an die clients auch die gateway- und dns-server-adresse? *g*

Etwas tiefer im folgenden thread steht ein iptables Skript für einen Router, daran kannst du dich orientieren.

http://www.linux-club.de/viewtopic.php?t=21303

mfG
gaw

Bevor ihr jetzt mit wilden iptables Scripts anfängt würde ich das erstmal weiter über die SuSEfirewall2 machen. Dat is etwas einfacher und funzt ebenfalls... Aber @gaw Dein Script hab ich mir eben angeschaut und werde das bestimmt mal ausprobieren, damit ich von der SuSEfirewall2 wegkomme.

BoeMatic schrieb:

http://mitglied.lycos.de/bomber8475/linux/SuSEfirewall2.html

Zum Vergrößern anklicken....

Tausch mal gegen folgendes aus:

http://mitglied.lycos.de/bomber8475/linux/SuSEfirewall2

(Kannst du im Prinzip per wget in /etc/sysconfig laden lassen)

Natürlich müssen die Voraussetzungen wie sie bei mir sind gegeben sein.

d.h.: Internet funktioniert auf ppp0 (Du kannst mit dem Linux-PC ganz normal surfen), internes Netzwerk ist eth1.

Den Clients mußt Du natürlich das defaultgateway (interne IP des Linux-PCs mitgeben) und einen DNS-Server mitgeben. Es kann jetzt durchaus sein das Du DNS (DOMAIN) Anfragen durch den Router durchlassen mußt. Ich hab auf meinem Router einen DNS-Forwarder laufen und hab daher die DNS-Ports nicht offen. Default sind die bei FW_SERVICES_EXT_TCP und FW_SERVICES_EXT_UDP (unter Punkt9) eingetragen.

Achso: Die Datei SuSEfirewall2 funzt auf Suse 9.0 (kommt original von Suse8.2), ich hab meinen Router vor 2 Tagen mit Suse 9.2 neu aufgesetzt und da mußte ich die Daten per hand einfügen da sich in der Datei einiges geändert hat. Du hast nicht geschrieben welches Suse Du benutzt.

Des weiteren hab ich die Firewall mit Yast einmal gestartet (ohne Voreinstellungen, sprich direkt nach der Installation) und dann die Daten ausgetauscht, danach "rcSuSEfirewall2 restart" getippt und es fuppte 1a.

Deine Begeisterung für die SuSEfirewall in Ehren und fachliche Kritik an meinen Skripten nehme ich auch gerne an, und selbstverständlich habe ich absolut nichts gegen Verbesserungsvorschläge. Was du allerdings unter wilden Skripten verstehst, müsstest du mir schon erklären, schließlich arbeiten meine Skripte schon jahrelang zuverlässig im produktiven Einsatz und haben sich gegenüber mancher distributionseigenen Firewall bewährt, auch auf SuSE-Systemen.
Bisher ist keine dieser Skripte ausgefallen oder hat seine Aufgabe nicht erfüllt. Im Moment bin ich zwar dabei, ein Webtool in perl zu entwickeln, mit dem sich ein Paketfilter einfacher bedienen lässt - insbesondere für Kunden die etwas narrensicher konfigurieren wollen - trotzdem werden aber iptables Skripte ihre Berechtigung behalten und ich werde sie auf unbestimmte Zeit wohl noch häufig einsetzen um einen Paketfilter an entsprechende Situationen vor Ort anzupassen. Aus Sicherheitsgründen ist es oft einfacher ein Skript den Bedürfnissen und Wünschen der Anwender anzupassen und dann gegen Veränderungen abzusichern. Außerdem sind Skripte wesentlich flexibler. So habe ich ein kleines Skript erstellt, dass sich in den Webmin als eigenen Befehl einbinden lässt und per Button gestartet wird. Starte ich dieses Skript wird nicht die ganze Firewall rauf und runtergefahren und bestehende Internetverbindungten gestört sondern nur eine Regeln eingefügt die dann passives FTP per Contracking erlauben. Selbstverständlich kann ich diese mit anderen Regeln ebenfalls durchführen, ein weiteres Skript schaltet den Html-Transfer von einem Proxy auf direkten Zugriff um, alles zuverlässig und sicher und kein bischen wild.

Diese Regeln lassen sich ebenso dynamisch wieder entfernen. Damit lässt sich ein Paketfilter wesentlich sicherer gestalten, weil auch der rücklaufende Verkehr mit stateful inspection nicht völlig freigegeben wird. Außerdem lassen sich so bestimmte Firewallfunktionen einem begrenztem Anwenderkreis zugänglich machen während sicherheitsrelevante Veränderungen erst gar nicht angeboten werden. So kann auch ein Rechtsanwalt, ein Betriebsleiter oder ein Arzt auf Knopdruck im Browser bestimmte Dienste freigegeben oder sperren.

Ich glaube nicht, dass du das mit der SuSEfirewall schaffst.

Insbesondere dann, wenn die Umgebungen nicht den Standardvorstellungen entspricht kann so ein Skript auch einfach schneller zu konfigurieren sein als die SuSEfirewall. Es benötigt schon allerlei Verrenkungen wenn die SuSEfirewall in einem Firmennetzwerk ohne Masquarading arbeiten soll, so sehr ist diese Firewall auf den Internetzugang per DSL oder Internet konstruiert. Oder versuch mal eine Firewall im Bridgemodus mit der SuSEfirewall zu bauen.

Also in diesen Situationen erscheint mir das Umkonfigurieren der SuSefirewall doch als wesentlich wilder, aber bitte, du darfst mich gern vom Gegenteil überzeugen, fachlich versteht sich.


mfG
gaw

Ich hab mir schon gedacht das Du bei dem Ausdruck "wilder" wie ein Stehaufmännchen reagierst. Sorry dafür!

Tatsache ist doch nur das er einfach ins Internet routen will und dafür reicht die SuSEfirewall2. Er braucht keine dynamische Entfernung und/oder Hinzufügung von bestimmten Ports.

Das Teil soll erstmal laufen und dann kann man sich doch mit diesem, echt geilen, Script auseinandersetzen. So mache ich das auch jetzt wenn ich die Zeit dafür habe.


Er hat ja DSL. Außerdem kann man mit einer einzigen Regel dort ausschließlich den Zugang zu http aus dem Lan zulassen, wenn alles andere nicht erlaubt sein soll. Das kann man für jeden einzelnen Port machen.
Ich würd einfach erstmal klein anfangen und dann zum komplexen Thema iptables wechseln.

Bei Linux-Crashkursen verläßt einem schnell der Mut. Das kenne ich aus eigener Erfahrung. Und wenn man nicht die Zeit hat sich mit iptables auseinanderzusetzen, ist so eine SuSEfirewall2 schnell konfiguriert.

Ist meine Meinung, für den gestandenen Linuxianer natürlich keine Frage der Wahl.

Die Art mancher Teilnehmer in Foren zu vorschnellen Beleidigungen und undifferenzierten Abqualifizierungen zu neigen, hat wohl etwas mit der Anonymität zu tun, die in solchen Forn herrscht. Zunächst werden von dir iptables Skripte in Bausch und Bogen verurteilet und anschließend werde ich als Stehaufmännchen beleidigt, was soll das? Und was meinst du mit dem Satz du hst dir das schon denken können. Kennen wir uns persönlich , dass dich zu solchen Urteilen greifen lässt?

Wahrscheinlich ist das ein Grund, warum sich viele Experten aus Foren zurückziehen. Man gibt etwas von seinem Wissen preis, zeigt Alternativen auch gegen proprietäre Einflüsse in der open source und erhält oft auch einen positiven feed back. Wären da nicht jene die sich immer auf die Füße getreten fühlen und meinen andere abqualifizieren zu müssen ohne Anlass.

Betrachten wir deine Argumente, fachlich argumentierst du allerdings kaum, so dass dies schnelle abgehandelt werden kann. Die einarbeitungszeit in iptables ist tatsächlich das einzigste fachliche Argument. Ich gebe ich dir darin auch recht, es dauert etwas länger wenn man sich intensiv in iptables einarbeitet. Aus diesem Grunde habe ich mir auch die Mühe gemacht so ein Skript ins Forum zu stellen, damit man sich damit auseinandersetzt und Alternativen kennenlernt. Es bleibt jedem selbst überlassen was er macht nur Sprüche das oder jene Ding muss erst einmal laufen sind entschuldige den Ausdruck leere Phrasen. Ein Programm oder Dienst hat einen Zweck und wenn auf einem anderen Weg diesen Zweck ebensogut oder sogar besser erreicht werden kann gibt es keinen Grund die Alternative zu verteufeln. Ich verstehe nicht warum du dich so echaufierst, nur weil ich einen Teilnehmer ein link auf mein Skript angeboten habe. Aber manche erkennen den Wert einer Arbeit nicht an, wenn man kein Geld verlangt. Sie fangen an zu mäkeln und zu beleidigen als ob da eine Eifersucht mitschwingt das man sich einmischt, Besitztstandsdenken in Foren sozusagen. Das kann einem schon das Engagement vermiesen, insbesondere da man fachlich fundierte Kritik vermisst und sich statt dessen mit Ausdrücken wie Stehaufmännchen und wilde Skripte rumschlagen muss..

Vielleicht hast du aber auch schlechte Erfahrungen in Linux Kursen gesammelt und willst andere dafür bestrafen. Ich glaube nicht, dass wir uns in einem meiner Kurse schon begegnet sind. Und wenn nicht, frage ich dich, was solche Bemerkungen sollen?

mfG
gaw

Ok danke für die Antworten

@Bomber
ich benutz Suse 9.1.
ich werd mal das Script was du hier gepostet hast ausprobieren. Heut komm ich aber wohl net mehr dazu :/

Muss man bei den Clients auf jeden Fall einen DNS Server eintragen? Oder gibt's ne Möglichkeit damit man das weglassen kann un der Router automatisch weiterleitet?

Einen DNS benötigt der Client auf jeden Fall, ansonsten kann der keine Namensauflösung machen. Es sei denn Du nimmst einen Web-Proxy, dann macht der das für Dich. Aber Du willst ja erstmal "noch" nicht mit Kanonen auf Spatzen schießen. Also DNS eintragen!! Da kannst Du dann den DNS Deines Providers angeben.

Oder Du installierst den DNS auf Deinen Router und nutzt den als DNS-Forwarder, geht auch relativ fix. Aber dann mußt Du immernoch dem Client sagen das der DNS Server auf Deinem Router zu finden ist.

Wenn Du dann einmal dabei bist kannste auch sofort einen DHCP Server mitinstallieren, dann brauchst Du an den Clients nix angeben außer das sie sich per DHCP die IP, das defaultgateway und den DNS holen sollen.

naja...selbst wenn du suse verwendest spricht doch eigentlich nix gegenüber einem eigenem iptables-script...mal ehrlich....ob du susefirewall2 verwendest oder ein eigenes script ......soviel zeitunterschied is es nich wenn man copy+paste in vi bzw. emacs kann oder?