Linux-Firewall hinter Hardware-Router

Aus Linupedia
Wechseln zu: Navigation, Suche

Autor: Martin Breidenbach Client ----- Linux ----- DSL-Router (oder ähnliches)

Router : 192.168.1.1
eth0: 192.168.1.2 (zum Router)
eth1: 192.168.2.1 (zum Client)
Client: 192.168.2.2

Der Client benötigt 192.168.2.1 als Standardgateway. Als DNS gibt man entweder die IP des DSL-Routers oder die eines DNS-Servers des Providers an.

Auf dem Linux-Rechner muß Routing aktiviert sein.

Im Router muß eine statische Route nach 192.168.2.0 über 192.168.1.2 eingetragen werden damit er weiß wohin er Antwortpakete auf Pakete aus 192.168.2.0/24 schicken soll. Wie das geht steht hoffentlich im Handbuch des Routers.

Falls das mit der statischen Route nicht geht besteht noch die Möglichkeit auf dem Linux-Rechner Masquerading bzw S-NAT zu aktivieren. Dann sieht der Router alle Pakete aus 192.168.1.0/24 mit der Absenderadresse 192.168.2.2 und wie er dorthin Antwortpakete schicken soll weiß er.

Desweiteren bietet es sich an auf dem Linux-Rechner einen caching DNS Server und einen Squid Proxy zu installieren. In diesem Fall wird bei den Clients als DNS die IP des Linux-Routers eingestellt.

Zum Thema "Was ist eine 'statische Route'":

Erstmal... was ist überhaupt eine Route ?

Eine Route ist ein Weg den ein TCP/IP Paket geht um ein bestimmtes Ziel zu erreichen.

Einen Router interessiert dabei nur der nächste 'Hop' (was schon das Ziel oder auch ein weiterer Router sein kann wenn der Weg mal etwas länger ist).

Dazu muß er also wissen wie das Netz heißt (IP-Adresse und Subnetzmaske) und über welche IP-Adresse es da hin geht (das Gateway).

Es gibt dynamische Routing-Protokolle bei denen die Router untereinander aushandeln wie die Wege denn so sind.

Nur - sowas hat keiner zuhause konfiguriert.

Also macht man das in kleineren Netzen statisch - was heißt man tippt im Router eine Tabelle rein von Zielnetzen und Gateways über die diese Zielnetze erreichbar sind.

Beispiel:

DSL Router 192.168.1.1 ------- 192.168.1.2 Linux Router 192.168.2.1 ----- Netz mit PC's in 192.168.2.0/24

Damit das funktioniert muß man entweder auf der Linux Kiste Masquerading machen (denn dann sieht der DSL Router Pakete vom internen Netz so als kämen sie von 192.168.1.2 und wo die ist weiß er ja) oder man verpaßt dem DSL Router eine statische Route für das Netz 192.168.2.0/24 über 192.168.2.2. Dann weiß er daß er Antwortpakete die nach 192.168.2.x gehen sollen über 192.168.1.2 schicken muß und dann klappts auch mit dem Internet.


zurück zum Netzwerk