Routing und Firewall auf einer maschine ?

Hallo ,

setze mir gerade einen Testrechner auf will mich mit Iptables beschäftigen will gerne Debian sarge oder Suse 10 open benutzen.

Die Maschine soll router und firewall sein wie mache ich das mit dem router was für packete brauche ich für das routing ?
Und welche packete für Iptabels ?

Bei SuSE ist iptables schon installiert. Normales Routing kannst Du über den Kernel machen (Befehl route). Komfortables Routing (dynmaisches Routing) geht über Quagga - sollte sich nach installieren lassen.

Ob Du routing und firewall auf einer Maschine machst hängt von deinem Sicherheitsbedürfniss ab. Für Hochsicherheitssystem würde ich das trennen.

Rein technisch kannst Du das auch auf einer Maschine machen.

Wie ist das mit dem routing (route) und dem dynamischen routing
ich will zum beispiel mehrer netzte über vpn mit einander verbinden diese routen will ich dem router mitteilen bei route manueller eintrag und wie funktioniert das mit dem dynamischen routing ?

Bei manuellem Routing musst Du alles wie gesagt "manuell" also selbst eintippen. Dynamsiches Routing macht das für Dich. Sobald die verschiedenen Router miteinander verbunden sind tauschen die Daten aus an welche Netzwerke sie angeschlossen sind. Somit aktualisiert sich die Routingtabelle der Router automatisch.

Was ist aber wenn die gegenseite nicht dynamisch routen tut ?

Dann ist nix mit dynamischem Routing.

Alternativ kannst du auch policy routing und/oder routing ueber iptables machen, was aber zu den erweiterten Themen gehort.

Hi ich habe es so gelöst

Software-Einstellung (Netzwerk-Konfiguration) :
(anmelden am PC als Root):
Benutzername ist root und das Passwort ist Test 11(siehe Beispiel) ( achtet bitte darauf, daß unter Linux solche Befehle klein geschrieben sein müssen ).
Jetzt lädt Suse das erste Mal die grafische Oberfläche [KDE], dort angelangt, ist die Hälfte schon geschafft .

Einstellen der IP auf feste (nicht dynamische) Werte :
Man besorgt sich die feste IP des verwendeten Routers bzw. Modems (z.B. 192.168.1.1, dann den Gateway 192.168.1.1 und DNS 192.168.1.1), startet Yast (das Konfigurationsprogramm von Suse)( das müßte eines von den Icons sein, die in der Taskleiste zu finden sind ), es öffnet sich ein Fenster zur Systemkonfiguration. Wichtig ist Netzwerkgeräte.
Im Menü Netzwerkkarte wählt man die Karte aus, die die Verbindung zum Router bzw. Modem herstellen soll und geht auf bearbeiten. Die Standardeinstellung [Automatische...von DHCP zugewiesene IP-Adresse] muß man jetzt abwählen, stattdessen muß [statische IP- Adresse] angeklickt werden und bei IP-Adresse eine Unter-IP des verwendeten Routers eingegeben werden.(z.B. 192.168.1.2)
Danach klickt man auf [Hostname und Nameserver], dort wird der Name für den Rechner eingegeben, Bei Nameserver1 (eine von 4 verschiedenen Möglichkeiten) tippt man jetzt die IP des Routers ein (z.B.192.168.1.1), und bei [Domäne] wird ein Name für eine zu erstellende Arbeitsgruppe angegeben, man klickt auf [übernehmen] und geht anschließend auf [Routing], dort wird bei Standardgateway die IP des Routers eingegeben (z.B.192.168.1.1). Sehr wichtig an dieser Stelle ist das Aktivieren bei [IP weiterleiten], sonst läuft später gar nichts mehr, weil dann die Internet-Verbindung zum möglichen Clientrechner nicht aufgebaut werden kann.
Nach Übernahme der Einstellungen ist man wieder in Yast im Unterordner Netzwerkgeräte. Für die zweite Netzwerkkarte (die die Verbindung zu den Clients herstellen soll) muß man lediglich eine feste IP vergeben, allerdings für ein Unternetzwerk für die Clients (z.B. 192.168.2.1)

Netzwerkskarten-Funktionstest:
Jetzt macht man die Konsole auf und tippt nacheinander in die Befehlszeile ein: ping 192.168.1.2 Es sollte eine Meldung erscheinen wie folgt:

Linux:# ping 192.168.1.2
Ping wir ausgeführt für 192.168.1.2 mit 32 Bytes Daten

Antwort von 192.168.1.2: Bytes=32 Zeit<1ms TTL=128
Antwort von 192.168.1.2: Bytes=32 Zeit<1ms TTL=128
Antwort von 192.168.1.2: Bytes=32 Zeit<1ms TTL=128
Antwort von 192.168.1.2: Bytes=32 Zeit<1ms TTL=128

Ping-Statistik für 192.168.1.2:
Pakete: gesendet = 4, Empfangen = 4, Verloren = 0 <0% Verlust>.

Mit [STRG] + [C] beendet man die Abfrage.
Dasselbe geschieht mit: ping 192.168.2.1 Jetzt müßte die Meldung etwa so aussehen:

Linux:# ping 192.168.2.1

Ping wir ausgeführt für 192.168.2.1 mit 32 Bytes Daten

Antwort von 192.168.2.1: Bytes=32 Zeit<1ms TTL=128
Antwort von 192.168.2.1: Bytes=32 Zeit<1ms TTL=128
Antwort von 192.168.2.1: Bytes=32 Zeit<1ms TTL=128
Antwort von 192.168.2.1: Bytes=32 Zeit<1ms TTL=128

Ping-Statistik für 192.168.1.2:

Pakete: gesendet = 4, Empfangen = 4, Verloren = 0 <0% Verlust>.

Jetzt versucht man, auf irgendeine Webseite zu gelangen.

Wenn das geklappt hat, ist bis jetzt alles richtig  !!!!

Aktivierung des Routings:
Jetzt muss man das Routing aktivieren. Am besten geht dieses mit einem Skript von
http://www.harry.homelinux.org/ dort muss man auf Iptables_Generator gehen, diverse systemrelevante Fragen beantworten und auch besondere Wünsche bezüglich der Funktionalität des verwendeten Linux-Systems eingeben.Nach Eingabe einer gültigen E-mail Adresse wird das fertige Script mit Installationsangaben an das Postfach gesendet.
Als letzten Schritt muß man auf dem Server nur noch die Verwendung von DHCP-IP‘s im Programm DHCP-Server aktivieren.

Aktivierung des DHCP-Servers:
Man geht wieder in Yast, wählt unter Netzwerkdienste das Icon [DHCP Server] aus. Im neuen Fenster wird die Client-Netzwerkkarte ausgewählt, der Port für eine evtl. Firewall ausgewählt und bestätigt, im nächsten Fenster wird ausgewählt, auf welches Gateway und auf welchen DNS-Server die Client-Rechner zugreifen sollen. Das Gateway wird die IP-Adresse der internen Netzwerkkarte des Servers (z.B. 192.168.2.1) und der DNS-Server ist entweder der Provider, oder der Router, an dem der Server angeschlossen ist (z.B. 192.168.1.1), nach der Bestätigung muß man noch den Gültigkeitsbereich für die Clients festlegen (z.B. 192.168.2.1 bis 192.168.2.255), bestätigen und im letzten Fenster die Aktivierung des DHCP-Servers bei Systemstart auswählen und bestätigen.
Ab sofort ist der Server für die Vergabe von IP-Adressen an die Clients allein verantwortlich.

Ich wünsche viel Erfolg

Mit freundlichen Grüßen:

Pierre Coste