• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Konfigaration einer Firewall

capser

Member
Hallo alle miteinander und einen schönen Montag morgen,

ich hoffe ich bin hier richtig, bin mir aber nicht ganz sicher ob ichs hier oder im Netzwerk bereich hätte posten sollen.

Aber erstmal zur Frage, das Firewall script läuft eigentlich recht gut und scheint auch richtig konfiguriert zu sein, nur ist Sie halt bisher nur im Test betrieb. Was sich aber nun ändern soll.

Das Problem ist das das Netzwerk bisher aus knapp 40 Rechnern besteht die im Netz 192.168.0.0 liegen der Internetzugang wird über einen Router mit 192.168.0.1 hergestellt, der uns vom Provider bereitgestellt wird. Auf diesem haben wir aber keinen zugrff, so dass wir selber leider keinen Einfluss auf den Verkehr ins Internet und umgekehrt haben.
Deswegen wollen wir halt hinter den Router die Firewall klemmen worauf dann auch noch ein Squid läuft, so dass wir bessere Kontrolle haben.

Die Frage ist halt da alle Clients schon eine IP haben und wir nicht alles umstellen wollen ob es sinvoll ist die FW, die 2 Netzwerkkarten hat,. mit einer direkt an den Router zu schließen.
z.B. mit der ip 192.168.0.100 und die 2 karte mit einer IP 192.168.0.200 ins Lan zu gehen.
Oder ob das nicht möglich ist da dann ja beide Adressen im gleichen Netz liegen.

Der Grund warum wir das halt gerne machen möchten ist halt das wir nicht die ganzen Clients umzustellen bezüglich der IP.

Und auf den Router haben wir halt keinen zugriff.

Über Info oder Tipps wie man es sonst umgehen könnte wäre ich natürlich dankbar

gruß
Nils
 
Tja, der neue Rechner mit FW und Proxy soll ja sicher zwei Netze trennen, und dafür braucht man nunmal zwei Netze...

Wie wärs denn, das besteheden Netz bei der Gelegenheit direkt mit DHCP (Zuweisung dann über MAC) und nem DNS-Cache auszustatten? Die beiden Dienste können auch auf dem FW-PC laufen.

Um mal zu spinnen: Eigendlich müßte es auch mit 2 Routern mit NAT hintereinander gehen. Der eine setzt um auf 192.168.1.x, um dann wieder zurück nach 192.168.0.x :twisted: Auf dem äußeren läuft FW und Squid, auf dem inneren andere Serverdienste...
Aber ob das noch jemand rafft...

Grüße
 
OP
C

capser

Member
Hi Carsten,

erstmal vielen Dank für die Info.

Das der neue Rechner 2 Netze trennen soll stimmt schon.
Aber eigentlich ja auch nicht wirklich. geht halt darum das die clients nicht mehr direkt auf den Router können.
Hatte gehofft halt den router nicht mehr ins Patchfeld zu verbinden sondern direkt ran an den neuen Rechner und damit zu umgehen die Clients neu einzustellen.
Allerdings sind es theoretisch natürlich schon 2 netzte weswegen mir wohl nichts anderes übrig bleibt.

Mit DHCP werde ich dann wohl auch realisieren. Ist denke ich wohl auch wenns läuft am einfachsten.
Muß mich da mal für ein schlaues tut informieren.

Die Lösung mit den 2 Routern würde ja vielleicht auch gehen aber da mach ich mir vielleicht doch lieber die aufgabe mit den DHCP.

Also vielen Dank und gruß
Nils
 

ThomasF

Hacker
Hi,

bleibt noch zu erwähnen das das Problem auch mit der Subnetzmask zu lösen ist ;-)

Bei einer Mask 255.255.255.0 kannst Du zwei Netze wie 192.168.0.x und 192.168.1.x nehmen ..

Wenn Du aber nur einen Bereich 192.168.0.x nehmen willst mußt Du die Mask ändern.

Beipiel : Wenn 192.168.0.1 der ISP ist und die externe IP Deiner Firewall 192.168.0.2 hat mußt Du z.B 255.255.255.252 als Mask auf der externen Netzwerkkarte eintragen.

Intern kannst Du dann die IP-Adressen 192.168.0.4 - 192.168.0.254 mit einer Mask von 255.255.255.0 verwenden ...


So long

ThomasF
 
Nochwas:
die Geschichte mit DHCP und DNS ist nicht wirklich ein Problem. Und wenn du alles statisch machst (also keine freie Wahl der Adressen) sondern fest überall einträgst muß es auch dynamisch nicht laufen. Sind halt feste conf-Dateien (3 Stück: 1xdhcp, 2xnamed) und das wars. Bei nem neuen PC die Dateien ändern (Zeilen kopieren, MAC und IP anpassen, Dienste durchstarten) und das wars. Beispiele gibts dafür überall; selbst mit YAST sollte inzwischen was sinnvolles bei rauskommen.

Grüße
 

ThomasF

Hacker
Hihi,

da hast Du vielleicht recht ...

Aber lohnt es sich hier ein Howto für Subneting inklusive Binär-Rechnen hinzustellen ???

So long

ThomasF
 
Liba net :?
Obwohl: damit kann man dann das Forum auch füllen mit den Rückfragen. Magste nicht ein eigenes Thema eröffnen? :roll:
 

ThomasF

Hacker
Hmm,

da bin ich wohl zu spät dran :

http://www.linux-club.de/viewtopic.php?t=16741

Es gibt zwar hier und da noch kleine Tricks um die Sache einfacher zu machen, aber sonst sieht das schon sehr gut aus ;-)

So long

ThomasF
 
OP
C

capser

Member
Ich weiß nicht ob die Konfiguration die zurzeit noch vorliegt richtig rübergekommen ist, denn wenn ich das Tut durchlese welches du gelinkt hattest würde ich sagen es geht doch im selben netz.

Nochmal deutlich :

bisher:

Router : 192.168.0.1
dieser wurde uns vom Provider bereitgestellt. Das ist die Interne IP.
Die externe ist 213.33.238.xxx
Clients : 192.168.0.150-200
Clients sind Win/Mac

Als default gateway ist bei allen die 192.168.0.1 eingetragen.

Nun würde ich gerne einen neuen Rechner hinstellen mit 2 netzwerkkarten
IP1 : 192.168.0.100/24 ---> direkt an den Router
IP2 : 192.168.0.200/24 ---> ins LAN

und den Router halt auch vom LAN weg und direkt an IP1 des neuen Rechners

und als neuer Gateway die 192.168.0.100.

Oder gibt es dann irgendwelche Probleme?
 

Martin Breidenbach

Ultimate Guru
capser schrieb:
Oder gibt es dann irgendwelche Probleme?

Nö - außer daß Routing halt so nicht funktioniert.

Ich kann leider keine Lösung anbieten bei der die Client-IP-Adressen nicht geändert werden müßten.

Ich glaube ich habe mal in der IPTables Mailingliste was davon gelesen daß Leute eine Bridge mit Paketfilter aufgebaut haben aber habe sonst keinen Infos darüber.
 

ThomasF

Hacker
So also noch mal, die Situation die Du schaffen möchtest sieht also so aus :

Internet - Router - neuer Rechner - LAN

Wenn ich das richtig verstehe sollen über den neuen Rechner "alle" Internetverbindungen laufen, oder ? Mit Kontrolle ist nämlich sonst nichts ...

Wenn nur ein Squid laufen soll könntest Du den ja so ins Netz stellen und den Clients sagen sie sollen ihn benutzen ...

Du möchtest also wahrscheinlich einen echten Router mit zwei Netzwerkkarten und wahrscheinlich auch einer weiteren Firewall (Paketfilter) darauf damit keiner daran vorbeikommt ?!?

Aber Du willst für Deine internen Clients nicht die IPs ändern, vermutlich um auch das DNS nicht ändern zu müssen.

So ich sehe jetzt zwei Varianten, die erste kenne ich selber nur vom hören-sagen und weiß nicht ob es für Dich wirklich brauchbar ist und nennt sich briged Firewall (siehe Ausgabe 12/04 der Linux-Magazin)
http://www.linux-magazin.de/Artikel/ausgabe/2004/12/bridgewall/bridgewall.html

Die zweite Variante ist ein Firewall Router ...

Ein Router braucht zwingend zwei "verschiedene" Netzwerksegmente ..

Wie schon in dem Howto von Martin beschrieben testet jeder Rechner vor dem Versand eines Pakets durch eine "AND" Operation von IP und Mask (jeweils eigene IP und die des Empfängers ) ob sich der Empfänger im gleichen Subnetz befindet oder nicht um dann das Paket entweder selber zuzustellen oder das Paket an das Gateway zu schicken.

Da in Deinem Netz alle Rechner die Mask /24 also 255.255.255.0 haben und sich alle Deine IPs nur im letzten Tuple unterscheiden sind auch alle Rechner im gleichen Netz.

Ein Router der auf beiden Karten im gleichen Netz hängt würde also niemals entscheiden können wo ein Paket denn nun hingehört (intern und extern unterscheiden sich nicht !!! )

Die Sache mit den Subnetzen ist zwar nicht ganz so einfach aber ich versuche mal Dich auf die richtige Richtung zu schubsen ;-)

Deine Clients haben die IP 150 -200 ...

Durch die binäre Natur der Subnetze kannst Du nur Netze bestimmter größe anlegen, also entweder 1,2,4,8,16,32,64,128,256 Hosts.

Du hast 50 Hosts also mußt Du auf die nächste Größe von 64 Hosts, abzüglich Broadcast und Netzwerkadresse bleiben 62 Host pro Netz

Die Netze liegen also so ...

192.168.0.0 - 192.168.0.63
192.168.0.64 - 192.168.0.127
192.168.0.128 - 192.168.0.191
192.168.0.192 - 192.168.0.255

Die Subnetmask für diese Netze ist für alle 24+2 Bit also /26 oder auch 255.255.255.192.

Durch Dein jetztiges Netz kämme also der Bereich 192.168.0.129 -192.168.0.190 für die Clients in Frage wobei das neue Standardgateway für die Clients dann z.B die 192.168.0.129 wäre.

Bei dieser Variante müßtes Du nur die Rechner zwischen 190 und 200 ändern falls diese existieren aber Du mußt auf jeden Falls für "alle" internen Clients die Subnetmask und das Standardgateway ändern !!!

So, hab schon wieder viel zu viel geschrieben ;-)

EDIT Du kannst auch natürlich Dein Netz in nur zwei Segmente Teilen mit der Subnetmask 255.255.255.128, dann sehen die beiden Netze so aus ...

192.168.0.0 - 192.168.0.127
192.168.0.128 - 192.168.0.255

Man könnte es auch noch komplizierter machen mit unterschiedlich großen Netzen innen und außen aber das lass ich hier lieber sein ;-)

So long

ThomasF
 

gaw

Hacker
Es existiert noch die Möglichkeit eine Pseudobridge über Proxyarps einzurichten.

Kurzgesagt bekommen beide Schnittstellen die gleiche IP-Nummer und arp wird so konfiguriert, dass jedesmal wenn eine arp Anfrage an die eine Schnittstelle gesandt wird diese über Linux ebenfalls an die andere Schnittstelle gesandt wird. Näheres dazu im advanced-Rouing howto. Entsprechend müssen statische Routen auf der Pseudobridge konfiguriert sein. Der Vorteil gegenüber einer echten Bridge besteht darin dass Pakete gefiltert werdeb können. Das ganze ist weniger aufwendig zu konfigurieren als mit ebtables (vorheriger Link) hat aber den Nachteil, das durch die zusätzlichen Arp-Anfragen kleinere Verzögerung beum Verbindungsaufbau auftreten können.

Mehr im advanced routing how-to:
http://lartc.org/howto/lartc.bridging.proxy-arp.html

Es existiert sogar eine Diskettendistribution mit einem 2.4 Kernel der eine Firewall als proxy arp betreibt:
http://www.zelow.no/floppyfw/

Eine Beschreibung wie diese Firewall zu konfigurieren ist findet sich hier:
http://linux.tuwien.ac.at/fwdist_new/html/Firewall_2.html

mfG
gaw
 
Oben