Diese Website existiert nur weil wir Werbung mit AdSense ausliefern.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.

Routing Problem, aber anders...

Alles rund um das Internet, Internet-Anwendungen (E-Mail, Surfen, Cloud usw.) und das Einrichten von Netzwerken einschl. VPN unter Linux

Moderator: Moderatoren

Antworten
patchau

Routing Problem, aber anders...

Beitrag von patchau »

Hallo Forum,

ich hatte schon mal an einer anderen Stelle gepostet, aber leider ohne Erfolg, daher probiere ich das nun noch einmal hier (und hoffe auf Hilfe).

Folgendes Problem :
Suse 9.0 Professional mit 3 NIC´s

1. 192.168.67.10
2. 192.168.10.99
3. 192.168.120.254

an der zweiten Karte hängt ein DSL Router mit der IP 192.168.10.100

Ich habe alle Karten entsprechend konfiguriert und IP-Forwarding eingeschaltet - soweit funktioniert ja auch schon alles, das Problem ist aber, dass ich mit beiden Netzen (...67.10 + ...120.254) ins Internet will (über den Router) die beiden Teilnetze sich aber nicht "sehen" sollen.

Ach ja, an den beiden Teilnetzen hängen jeweils ca. 10 Windows 2000 Rechner.

Hoffe, dass mir da jemand weiterhelfen kann - ich habe mir schon die Finger wundgetippt und Tuts gelesen - aber ich kriege das mit den Routingtabellen nicht hin (Vielleicht ist das ja auch das falsche Mittel ???)

Schon mal Danke im Voraus

Grüße

Patchau
jado
Member
Member
Beiträge: 170
Registriert: 4. Mär 2004, 11:00
Wohnort: Hamburg

Beitrag von jado »

Hi,

über routing-tables auf dem Router bekommst du es tatsächlich nicht hin.
Schau dir mal Dokus über Firewalls und access-lists an.
patchau

Beitrag von patchau »

Hi,

ich habe irgendwie kein gute Doku zu Firewalls und insbesondere zu Access-lists gefunden - jedenfalls nichts, daß mir weiterhelfen könnte.
Aber danke für den Tip - vielleicht hat ja jemand ne gute Doku oder kann mir sonst irgendwie helfen.
jado
Member
Member
Beiträge: 170
Registriert: 4. Mär 2004, 11:00
Wohnort: Hamburg

Beitrag von jado »

Hallo Gast,
wenn du Doku's suchst, kannst du hier schaun:
http://www.tldp.org/

Dort findest du auch HOWTOs zu Linux-firewalls:
http://www.tldp.org/HOWTO/Firewall-HOWTO.html
http://www.tldp.org/HOWTO/IPCHAINS-HOWTO.html
oder:
http://www.spps.tp.edu.tw/documents/mem ... uxdoc.html
patchau

Beitrag von patchau »

Hallo Member,

(danke für den Hinweis - werde mich registrieren :lol: )
Ich habe mal ein wenig durch die Links gescrollt und gelesen, aber irgendwie finde ich nichts zum Thema Access Lists. Vielleicht habe ich Dich ja vorhin auch falsch verstanden, aber das ist doch das Mittel, welches mir helfen soll, oder ??? Klar, ein fundierteres Firewall Wissen muß ich mir sicher anlegen, aber kannst Du mir vielleicht auf die schnelle einen kleinen Tip geben, wie ich am besten an die Problematik herangehe. Denn z.Zt. verstehe ich leider nur "Bahnhof".

Grüße

Patchau
jado
Member
Member
Beiträge: 170
Registriert: 4. Mär 2004, 11:00
Wohnort: Hamburg

Beitrag von jado »

Hi,

ja "access-lists" ist auch ehr ein allgemeiner Begriff.

Tools, die du suchst heißen z.B. "ipchains" bzw. das neuere "iptables".
Mit diesen Tools kannst du Accesslisten anlegen und verwalten
und darüber dann steuern, wer mit wem "reden" darf.

Voraussetzung ist allerdings auch, dass du dich ein wenig mit
dem Internet Protocol auskennst.
Benutzeravatar
basman
Member
Member
Beiträge: 217
Registriert: 4. Jan 2004, 01:08

Zwei LANs, die sich nicht sehen dürfen

Beitrag von basman »

Hi,

um es kurz zu machen: die folgenden Iptables-Befehle verhindern, dass sich die beiden Netze miteinander unterhalten können:

Code: Alles auswählen

iptables -I FORWARD 1 -s 192.168.67.0/24 -d 192.168.120.0/24 -j DROP
iptables -I FORWARD 1 -s 192.168.120.0/24 -d 192.168.67.0/24 -j DROP
Dabei wird über die IP-Adressen gefiltert. Man könnte auch zusätzlich oder ersatzweise über die Interfaces filtern:

Code: Alles auswählen

iptables -I FORWARD 1 -i eth0 -o eth2 -j DROP
iptables -I FORWARD 1 -i eth2 -o eth0 -j DROP
Erläuterung:
Die Forward-Chain filtert Pakete, die von einem Interface auf ein anderes wollen. Im Gegensatz zu Paketen, die an den Host gerichtet sind oder von ihm erzeugt wurden.

Du könntest entweder die SuSE-Firewall verwenden, für das Masquerading und die obigen Befehle als Nachbrenner nach dem SuSE-Fw Start dazu laden, oder Du erstellst Dir eine eigenen Iptables-Konfiguration.

Damit in diesem Fall (eigene Iptables-Konfig) das Masquerading funktioniert, kommen noch diese Regeln hinzu:

Code: Alles auswählen

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -t nat -I PREROUTING -i eth1 -m state --state NEW,INVALID -j LOG --log-prefix "boeser bube "
iptables -t nat -I PREROUTING -i eth1 -m state --state NEW,INVALID -j DROP
Die letzten beiden Regeln wehren vom Internet kommende Verbindungen ab. Dieses Setup ist zwar rudimentär und entspricht sicherlich nicht dem "State of the Art" in Sachen Firewall-Konfiguration, aber die schlimmen Sicherheitsprobleme hat man damit durchaus erschlagen. Ich persönlich habe solch ein simples Setup laufen und fühle mich wohl dabei ( - Dummheit schützt vor Strafe nicht).

Denn um ehrlich zu sein: wenn Du wirklich verhindern willst, dass Gurus vom CCC in Deinen Rechner einbrechen können, hast Du viel Arbeit vor Dir, es sei denn Du ziehst den Netzwerkstecker. Dagegen hilft die SuSEfirewall auch nicht wirklich. Das braucht jedoch nicht weiter zu beunruhigen, weil es sehr unwahrscheinlich ist, dass sich jemand mit solch fundierten Kenntnissen an Deiner Kiste versucht. Und gegen die verbreiteten Attacken der Script-Kiddies hilft ein simples Masquerading.

Ports von aussen freigeben
Wenn Du Ports vom Internet an eine Kiste im LAN forwarden willst, schnapp Dir die man-Page zu iptables und schau Dir das DNAT-Target an.
Beispiel: TCP-Port 4662 und 80 soll auf die Kiste 192.168.67.122 ins LAN weitergeleitet werden.

Code: Alles auswählen

iptables -I PREROUTING -i eth1 -p tcp -m multiport --dports 80,4662 -m state --state NEW -j DNAT --to-destination 192.168.67.122
Gruss basman
Antworten