• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Routing Problem, aber anders...

A

Anonymous

Gast
Hallo Forum,

ich hatte schon mal an einer anderen Stelle gepostet, aber leider ohne Erfolg, daher probiere ich das nun noch einmal hier (und hoffe auf Hilfe).

Folgendes Problem :
Suse 9.0 Professional mit 3 NIC´s

1. 192.168.67.10
2. 192.168.10.99
3. 192.168.120.254

an der zweiten Karte hängt ein DSL Router mit der IP 192.168.10.100

Ich habe alle Karten entsprechend konfiguriert und IP-Forwarding eingeschaltet - soweit funktioniert ja auch schon alles, das Problem ist aber, dass ich mit beiden Netzen (...67.10 + ...120.254) ins Internet will (über den Router) die beiden Teilnetze sich aber nicht "sehen" sollen.

Ach ja, an den beiden Teilnetzen hängen jeweils ca. 10 Windows 2000 Rechner.

Hoffe, dass mir da jemand weiterhelfen kann - ich habe mir schon die Finger wundgetippt und Tuts gelesen - aber ich kriege das mit den Routingtabellen nicht hin (Vielleicht ist das ja auch das falsche Mittel ???)

Schon mal Danke im Voraus

Grüße

Patchau
 

jado

Member
Hi,

über routing-tables auf dem Router bekommst du es tatsächlich nicht hin.
Schau dir mal Dokus über Firewalls und access-lists an.
 
OP
A

Anonymous

Gast
Hi,

ich habe irgendwie kein gute Doku zu Firewalls und insbesondere zu Access-lists gefunden - jedenfalls nichts, daß mir weiterhelfen könnte.
Aber danke für den Tip - vielleicht hat ja jemand ne gute Doku oder kann mir sonst irgendwie helfen.
 

jado

Member
Hallo Gast,
wenn du Doku's suchst, kannst du hier schaun:
http://www.tldp.org/

Dort findest du auch HOWTOs zu Linux-firewalls:
http://www.tldp.org/HOWTO/Firewall-HOWTO.html
http://www.tldp.org/HOWTO/IPCHAINS-HOWTO.html
oder:
http://www.spps.tp.edu.tw/documents/memo/iptable_howto/packet-filtering-HOWTO.linuxdoc.html
 
OP
A

Anonymous

Gast
Hallo Member,

(danke für den Hinweis - werde mich registrieren :lol: )
Ich habe mal ein wenig durch die Links gescrollt und gelesen, aber irgendwie finde ich nichts zum Thema Access Lists. Vielleicht habe ich Dich ja vorhin auch falsch verstanden, aber das ist doch das Mittel, welches mir helfen soll, oder ??? Klar, ein fundierteres Firewall Wissen muß ich mir sicher anlegen, aber kannst Du mir vielleicht auf die schnelle einen kleinen Tip geben, wie ich am besten an die Problematik herangehe. Denn z.Zt. verstehe ich leider nur "Bahnhof".

Grüße

Patchau
 

jado

Member
Hi,

ja "access-lists" ist auch ehr ein allgemeiner Begriff.

Tools, die du suchst heißen z.B. "ipchains" bzw. das neuere "iptables".
Mit diesen Tools kannst du Accesslisten anlegen und verwalten
und darüber dann steuern, wer mit wem "reden" darf.

Voraussetzung ist allerdings auch, dass du dich ein wenig mit
dem Internet Protocol auskennst.
 

basman

Member
Hi,

um es kurz zu machen: die folgenden Iptables-Befehle verhindern, dass sich die beiden Netze miteinander unterhalten können:
Code:
iptables -I FORWARD 1 -s 192.168.67.0/24 -d 192.168.120.0/24 -j DROP
iptables -I FORWARD 1 -s 192.168.120.0/24 -d 192.168.67.0/24 -j DROP
Dabei wird über die IP-Adressen gefiltert. Man könnte auch zusätzlich oder ersatzweise über die Interfaces filtern:
Code:
iptables -I FORWARD 1 -i eth0 -o eth2 -j DROP
iptables -I FORWARD 1 -i eth2 -o eth0 -j DROP
Erläuterung:
Die Forward-Chain filtert Pakete, die von einem Interface auf ein anderes wollen. Im Gegensatz zu Paketen, die an den Host gerichtet sind oder von ihm erzeugt wurden.

Du könntest entweder die SuSE-Firewall verwenden, für das Masquerading und die obigen Befehle als Nachbrenner nach dem SuSE-Fw Start dazu laden, oder Du erstellst Dir eine eigenen Iptables-Konfiguration.

Damit in diesem Fall (eigene Iptables-Konfig) das Masquerading funktioniert, kommen noch diese Regeln hinzu:
Code:
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -t nat -I PREROUTING -i eth1 -m state --state NEW,INVALID -j LOG --log-prefix "boeser bube "
iptables -t nat -I PREROUTING -i eth1 -m state --state NEW,INVALID -j DROP
Die letzten beiden Regeln wehren vom Internet kommende Verbindungen ab. Dieses Setup ist zwar rudimentär und entspricht sicherlich nicht dem "State of the Art" in Sachen Firewall-Konfiguration, aber die schlimmen Sicherheitsprobleme hat man damit durchaus erschlagen. Ich persönlich habe solch ein simples Setup laufen und fühle mich wohl dabei ( - Dummheit schützt vor Strafe nicht).

Denn um ehrlich zu sein: wenn Du wirklich verhindern willst, dass Gurus vom CCC in Deinen Rechner einbrechen können, hast Du viel Arbeit vor Dir, es sei denn Du ziehst den Netzwerkstecker. Dagegen hilft die SuSEfirewall auch nicht wirklich. Das braucht jedoch nicht weiter zu beunruhigen, weil es sehr unwahrscheinlich ist, dass sich jemand mit solch fundierten Kenntnissen an Deiner Kiste versucht. Und gegen die verbreiteten Attacken der Script-Kiddies hilft ein simples Masquerading.

Ports von aussen freigeben
Wenn Du Ports vom Internet an eine Kiste im LAN forwarden willst, schnapp Dir die man-Page zu iptables und schau Dir das DNAT-Target an.
Beispiel: TCP-Port 4662 und 80 soll auf die Kiste 192.168.67.122 ins LAN weitergeleitet werden.
Code:
iptables -I PREROUTING -i eth1 -p tcp -m multiport --dports 80,4662 -m state --state NEW -j DNAT --to-destination 192.168.67.122

Gruss basman
 
Oben