Diese Seite ist unverschlüsselt! Um sicherzustellen, das Ihr Passwort nicht ausgelesen werden kann, sollten Sie auf die verschlüsselte Seite wechseln!

    Herzlich Willkommen, lieber Gast!
  Sie befinden sich hier:

  Forum » GNU/Linux » routing
Forum | Hilfe | Team | Links | Impressum | > Suche < | Mitglieder | Registrieren | Einloggen
  Quicklinks: MSDN-Online || STL || clib Reference Grundlagen || Literatur || E-Books || Zubehör || > F.A.Q. < || Downloads   

Autor Thread - Seiten: > 1 <
000
25.11.2004, 21:11 Uhr
Pler
Einer von Vielen
(Operator)


Hallo!
Ich möchte einfach mit einem Linux-Rechner (Suse 9.1) routen.
Er soll aus einem Wohnheimnetz nur bestimmte Leute auf ein internes Netz ( Verbindung zum INet ) zulassen.
Ich weis, dass es da abgespeckte Versionen von Linux gibt, die das ziemlich gut machen, aber das muss doch auch so möglich sein. ( Der Server läuft gleichzeitig noch als Webserver und Samba - S. ).
 
Profil || Private Message || Suche Download || Zitatantwort || Editieren || Löschen || IP
001
25.11.2004, 21:59 Uhr
lookIN



 bemühe doch mal die Suche, es gab schon mal einen Post zu diesem Thema. Da dürftest du Programme finden, die dir dabei helfen können.
--
--
lookIN
 
Profil || Private Message || Suche Download || Zitatantwort || Editieren || Löschen || IP
002
25.11.2004, 22:52 Uhr
FloSoft
Medialer Over-Flow
(Administrator)


naja kann man doch mit route und iptables so konfen das nur das durchgeht was soll, oder?
--
class God : public ChuckNorris { };
 
Profil || Private Message || Suche Download || Zitatantwort || Editieren || Löschen || IP
003
26.11.2004, 15:25 Uhr
Pler
Einer von Vielen
(Operator)


@lookIN
Ich hab nach "routing" gesucht, und da gab es schon einen (!) Post, aber da war das doch sehr allgemein, denn dass ich bei Yast "IP-Forwarding" einschalten kann, hab ich auch schon gewusst.

Das Problem ist ja, dass bestimmtes von allen erreicht werden soll, aber zB. das Inernet nicht!
Die Internet Verbindung macht ein router ( 192.168.0.1 / 255.255.255.0 ), der Linuxrechner macht wie gesagt Webserver, samba und Internet ( alles 10.3.22.2 / 255.0.0.0 ).

Wenn das wirklich so einfach einzutragen ist, wärs schön, wenn mir das jmd sagt, ich finde dazu
nichts.
 
Profil || Private Message || Suche Download || Zitatantwort || Editieren || Löschen || IP
004
26.11.2004, 16:25 Uhr
typecast
aka loddab
(Operator)


Was du machen solletest ist folgendes:

Ersten auf dem Gateway stellst du erst ein mal das Portforwarding an.

Anschliessend schreibst du ein script, in dem du iptables-Regeln (siehe dazu auch www.google.de).
Das Script sollte ungefaehr folgendes machen:

1.) Blockieren _aller_ moeglichen Verbindungen mit einer DROP Policy.
2.) Erlaube in der INPUT-chain einigen Rechnern, dass zugreifen auf die verschiedenen Dienste auf dem Gateway (so wie ich das verstanden habe, laufen der Webserver, samba , bla bla bla
alle auf dem Gateway. Die Regel kann z.B. so aussehen:


Code:
/sbin/iptables -A INPUT -p tcp --s 192.168.0.0/24  --d $LOKALE_ADRESSE_DEINER_FIREWALL --sport 1024:65535 --dport 22 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -s $LOKALE_ADRESSE_DEINER_FIREWALL -d 192.168.0.0/24 --sport 22 --dport 1024:65535 -j ACCEPT


Diese Regel wuerde jetzt den Zugriff auf den Port 22 (ssh) auf deine Firewall von allen Rechnern, die aus dem Subnetz 192.168.0.0 mit netmask 255.255.255.0 kommen wuerden erlauben (naeheres siehe www.google.de). Die Anfragen muessen von einem Port zwischen 1024 und 65535 kommen (was auch der vorgesehene Normalfall ist, alles andere willst du gar nicht . Siehe auch www.google.de )

Die zweite Regel erlaubt, dass Pakete von deinem Gateway vom port 22 zum anfragenden Port auf dem Rechner durchkommen.

3.) In der FORWARD chain kannst du dann gewissen Rechnern erlauben, ins Internet zu gehen. Eine Regel koennte so aussehen:


Code:
/sbin/iptables -A FORWARD -p tcp --s 192.168.0.2 --sport 1024:65535 --dport 80 -j ACCEPT
/sbin/iptables -A FORWARD -p tcp --d 192.168.0.2 --sport 80 --dport 1024:65525 -j ACCEPT



Das erlaubt dem Rechner 192.168.0.2 eine Verbindung zu jedem anderen Rechner auf den Port 80 aufzubauen. Wenn du spezielle Rechner verbieten willst, dann musst du _davor_ expliziet alle Pakete DROPen, die an Rechner gehen, auf die nicht zugriffen werden soll.

Merke: Die Regel, die du als erstes angibt, wird als erstes Ausgefuehrt. Wird eine Regel gefunden, die auf ein Paket angewendet werden kann, werden keine weiteren Regeln dieser Chain mehr ausgefuehrt.

So, jetzt wuensch ich dir viel spass beim googlen Ich hoffe das hilft dir weiter.
--
All parts should go together without forcing. ... By all means, do not use a hammer. (IBM maintenance manual, 1925)
 
Profil || Private Message || Suche Download || Zitatantwort || Editieren || Löschen || IP
Seiten: > 1 <     [ GNU/Linux ]  


ThWBoard 2.73 FloSoft-Edition
© by Paul Baecher & Felix Gonschorek (www.thwboard.de)

Anpassungen des Forums
© by Flo-Soft (www.flo-soft.de)

Sie sind Besucher: