Sie sind nicht angemeldet.

Routning ?

Lieber Besucher, herzlich willkommen bei: Linux Forum Linux-Web.de. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.

  • 1
  • 2

Rayback

Anfänger

  • »Rayback« ist der Autor dieses Themas

Beiträge: 23

  • Nachricht senden

1

10.07.2009, 14:18

Routning ?

Hallo Leute,

ich habe folgendes Problem. Ich habe einen Debian Server zu Hause.
Ich habe eine Netzwerkkarte (eth0) und der Server hat die Aufgabe als DMZ zu arbeiten. Nun weiss ich eins nicht. Ich habe mit IPTABLES alles Regeln soweit aufgestellt welches Netz mit welchen Kommunizieren darf.
Daten:

192.168.3.1 DSL
192.168.3.100/24 Debian Server
192.168.40.15/24 Rechner

Ich habe die Netzwerkkarte so konfiguriert, das sie mehrere Namen hat.

etho
address 192.168.3.100
subnet 255.255.255.0
gateway 192.168.3.1

eth0:40
address 192.168.40.1
subnet 255.255.255.0

usw.

Nun möchte ich das die Rechner aus dem Netz 192.168.40.0/24 ins Internet können.
Was muss ich denn dazu machen ?

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »Rayback« (10.07.2009, 14:19)

BorneBjoern

Stuemper

  • »BorneBjoern« ist männlich

Beiträge: 898

Wohnort: Koenigstein

  • Nachricht senden

2

10.07.2009, 15:11

RE: Routning ?

Morgen!

- du solltest deinem PC (192.168.40.15) sagen, dass dein gateway die IP 192.168.40.1 hat.
- der Debian PC sollte als default Gateway den Router vom provider haben
- iptables sagen, dass
. . nur gewollte (related) Packte die Firewall passieren duerfen
. . alle verbindungen aus dem 192.168.40.0 /24er Netzwerk mit Protokol udp und zielport 53 erlauben (DNS Abfragen)
. . alle verbindungen aus dem 192.168.40.0 /24er Netzwerk mit Protokol tcp und zielport 80 (http) oder 443 (https) erlauben
. . alle anderen Verbindungen sollen Standardmaeszig gedropt und gelogt werden

fertig, dein PC kann ins Internet browsen. Mehr aber nicht. Wenn er dann mehr koennen soll... regeln erweitern.


ich wuerde das via script machen, da die Einstellungen beim Neustart verloren gehen. Wenn das allerdings die Regeln als script hast, kannst du dieses beim Systemstart in die runlevels einfuegen und schon werden deine Regeln automatisch mit geladen.

Hier noch ein kleines Beispiel fuer ein solches script:

Quellcode

 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

# Nur Folgeantworten zulassen
/sbin/iptables  -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

#Default Policies setzen

/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT DROP

# Regeln

/sbin/iptables -A FORWARD -s 192.168.40.0/24 -p udp --dport 53 -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.40.0/24 -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.40.0/24 -p tcp --dport 443 -j ACCEPT


# log 'n drop
/sbin/iptables -A FORWARD -s 192.168.40.0/24 -p all -j LOG --log-prefix: "Droped packages 192.168.40.0: "
/sbin/iptables -A FORWARD -s 192.168.40.0/24 -p all -j DROP

Denk aber daran, der Kernel arbeitet sich bei jedem Packet von oben nach unten durch deine Regeln. Somit nimmt er das DROP, wenn keine Regel vorher auf das Packet zutrifft. Gelogt wird natuerlich nach /var/log/messages.
for Windows problems: reboot
for Linux problems: be root

Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von »BorneBjoern« (13.07.2009, 17:12)

Rayback

Anfänger

  • »Rayback« ist der Autor dieses Themas

Beiträge: 23

  • Nachricht senden

3

10.07.2009, 15:21

RE: Routning ?

Danke schön für die schnelle Antowort und dazu sehr informativ.
Ich habe mir ein Script gebastelt und nun werde ich versuchen es so umzusetzen. =D

BorneBjoern

Stuemper

  • »BorneBjoern« ist männlich

Beiträge: 898

Wohnort: Koenigstein

  • Nachricht senden

4

10.07.2009, 15:28

RE: Routning ?

bitte bitte keine Ursache.

Aber das ganze wird dir nicht sehr viel nuetzen, wenn du es nur stupide abtippst. oder copy-pastest.

Die Standard Ports und die entsprechenden Protokolle findest du unter /etc/services.

Wenn du ein sicheres System haben moechtest, dann empfiehlt sich generell nach dem Prinzip least privilege vorzugehen.
Zusammengefasst bedeutet das: Erst einmal alles verbieten und dann, wenn benoetigt, die entsprechenden Rechte gewaehrleisten.

So wenig wie moeglich, so viel wie noetig.
for Windows problems: reboot
for Linux problems: be root

Rayback

Anfänger

  • »Rayback« ist der Autor dieses Themas

Beiträge: 23

  • Nachricht senden

5

10.07.2009, 17:35

Danke Bjoern. Also ich habe erstmal alles verboten. Aber das problem ist dann, dass ich z.B. web.de nicht mehr an pingen kann.
Ich habe folgendes gemacht:

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

Somit ist alles erstmal dicht.
Dann wollte ich das mein 192.168.x.x Netz auf alles zugreifen darf, aber keine komunikation erstmal untereinander stattfinden darf.
Somit die folgenden Regeln:

iptables -A INPUT -p icmp -d 192.168.0.0/16 -s 0/0 -j ACCEPT
iptables -A OUTPUT -p icmp -s 192.168.0.0/16 -d 0/0 -j ACCEPT

iptables -A INPUT -p icmp -d 192.168.0.0/16 -s 192.168.0.0/16 -j REJECT
iptables -A OUTPUT -p icmp -s 192.168.0.0/16 -d 192.168.0.0/16 -j REJECT

Dann will ich aber das nur bestimmte Netze ins Internet dürfen aber irgendwie klappt es nicht. Ich weiss nur das die REJECT Regel ganz nach unten muss, weil sonst alles andere auch verworfen wird.

BorneBjoern

Stuemper

  • »BorneBjoern« ist männlich

Beiträge: 898

Wohnort: Koenigstein

  • Nachricht senden

6

13.07.2009, 12:33

Moin moin,

1. bist du dir sicher, dass dein 192er netz wirklich eine 16er (255.255.0.0) Maske und keine 24er (255.255.255.0) Maske hat?

2. muszt den internen Traffic, der ja nicht greouted werden musz gar nicht explizit erlauben.

2.1. deine zeile: "iptables -A INPUT -p icmp -d 192.168.0.0/16 -s 0/0 -j ACCEPT" ist sogar gefaehrlich, da du damit den Traffic von ueberall in dein Netz erlaubst.
. . . . Das wird aber bereits geloest, wenn du Punkt 2 beachtest.

2.2. Was meinst du damit, dass keine Kommunikation untereinander stattfinden darf?
. . . . Das wird sich nicht vermeiden lassen, solange die PCs im gleichen Netz sind.
. . . . Sobald du allerdings unterschiedliche Teilnetze verwendest (denn damit diese erreichbar sind, muessen sie gerouted werden)
. . . . kannst du die Kommunikation wieder einschraenken. Sonst wird dir wohl nur uebrigbleiben, auf allen Maschinen die Firewall so zu modifizieren,
. . . . dass sie keine Packete zulaesst. Was ja aber auch sinnbefreit ist, wenn man die PC erst vernetzt hat.

3. wenn du nicht weiterkommst, dann schalte doch das logging an.

/sbin/iptables -A INPUT -p all -j LOG
/sbin/iptables -A OUTPUT -p all -j LOG
/sbin/iptables -A FORWARD -p all -j LOG

dann mit tail -f /var/log/messages das Log pruefen, waehrend du von einer maschine ein ping auf web.de abschickst.

3.1. du kannst auch mit dem Schalter -i das Netzwerkinterface angeben, auf welches die Regel passen soll.

bsp fuer zu erlaubendes Interface: /sbin/iptables -A INPUT -i eth0 -j ACCEPT

4. muszt du natuerlich auch das FORWARDing erlauben.

5. Folgeantworten fuer alle 3 Ketten (INPUT, OUTPUT und FORWARD) erlauben
for Windows problems: reboot
for Linux problems: be root

Rayback

Anfänger

  • »Rayback« ist der Autor dieses Themas

Beiträge: 23

  • Nachricht senden

7

13.07.2009, 13:32

Hallo Björn,

1. Mein 192er Netz hat die Subnet 255.255.255.0. Aber ich will das dass Netz 192.168.1.x und 192.168.2.x .... erstmal sich nicht untereinander pingen sollen.
Sonst müsste ich für jedes Netz ein DROP machen. Ich dachte es geht besser wenn ich einfach 192.168.0.0/16 mache, da denke ich das es für das Netz 192.168.1.x, 192.168.2.x ... gilt oder nicht ?

2.1 Also ich habe erstmal alles erlaub und dann einigen verboten.
. . . Der Hintergrundgedanke war, das ich z.B. das Internet pingen kann aber das Netz
. . . nicht unter sich.

3.1. Also ich will das alle Rechner intern nur über mein DMZ nach aussen sollen.
. . . Da ich aber nur eine Netzwerschnittstelle habe, brauch ich nichts eingeben.

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »Rayback« (13.07.2009, 13:33)

BorneBjoern

Stuemper

  • »BorneBjoern« ist männlich

Beiträge: 898

Wohnort: Koenigstein

  • Nachricht senden

8

13.07.2009, 14:21

Dann sind es ja schon mehrere SubNetze. Damit ist ein Routing notwendig, damit PCs aus den unterschiedlichen Netzen miteinander kommunizieren koennen.

Auszerdem muszt du deinem Linux PC noch sagen, dass er die Packete forwarden darf/soll. das Tust du via echo 1 > /proc/sys/net/ipv4/ip_forward

Probiere das nun noch einmal.

Auszerdem muszt du, damit die FW die Regeln richtig anwendet die FORWARD chain aendern und nicht INPUT und OUTPUT.
- Diese beiden Ketten gelten nur fuer Packete, die an diese / von dieser Maschine addressiert sind, auf der die FW mit diesen Regeln laeuft.

Ich hab noch einen kleinen Nachtrag zum Thema: Option -i -> Angabe des Interface:
Es ist zwar moeglich, einer Netzwerkkarte mehrere IPs zu geben, bei den FW scripten habe ich allerdings bisher noch nie versucht, ein Device mit dem Namen "eth0:1" anzusprechen. Daher kann ich dir nicht sagen, ob das so funktioniert.
for Windows problems: reboot
for Linux problems: be root

Rayback

Anfänger

  • »Rayback« ist der Autor dieses Themas

Beiträge: 23

  • Nachricht senden

9

13.07.2009, 16:11

Danke für deine Zeit Björn.

Ich habe eine bitte. Kannst du dir mal mein Script angucken und sagen was ich da falsch habe oder noch richtig machen muss ?

Quellcode

 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104

#!/bin/bash

# Alle "Eingehenden(INPUT), Ausgehenden(OUTPUT) sowie Weiterleitungen(FORWARD)" werden gesperrt

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

#iptables -P INPUT DROP
#iptables -P OUTPUT DROP
iptables -P FORWARD DROP

#iptables -A OUTPUT -p tcp -s 192.168.0.0/16 -d 0.0.0.0/0 -j ACCEPT
#iptables -A OUTPUT -p udp -s 192.168.0.0/16 -d 0.0.0.0/0 -j ACCEPT

# Alle "Eingehenden und Ausgehenden Ports" werden auf dem DMZ(192.168.3.100) erlaubt

iptables -A INPUT -p tcp --dport 1:65535 -d 192.168.3.100 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1:65535 -s 192.168.3.100 -j ACCEPT
iptables -A INPUT -p udp --dport 1:65535 -d 192.168.3.100 -j ACCEPT
iptables -A OUTPUT -p udp --sport 1:65535 -s 192.168.3.100 -j ACCEPT
iptables -A INPUT -p icmp -d 192.168.3.100 -s 192.168.3.1 -j ACCEPT
iptables -A OUTPUT -p icmp -s 192.168.3.100 -d 192.168.3.1 -j ACCEPT

# VPN-3

iptables -A INPUT -p tcp -d 192.168.3.100 -s 192.168.3.0/24 -j ACCEPT
iptables -A OUTPUT  -p tcp -s 192.168.3.100 -d 192.168.3.0/24 -j ACCEPT
iptables -A INPUT -p udp -d 192.168.3.100 -s 192.168.3.0/24 -j ACCEPT
iptables -A OUTPUT  -p udp -s 192.168.3.100 -d 192.168.3.0/24 -j ACCEPT

# VPN-4



# Server 192.168.20.x

iptables -A INPUT -p tcp -m iprange --dst-range 192.168.20.10-192.168.20.13 --src-range 192.168.3.1-192.168.60.254 -j ACCEPT
iptables -A OUTPUT  -p tcp -m iprange --src-range 192.168.20.10-192.168.20.13 --dst-range 192.168.3.1-192.168.60.254 -j ACCEPT
iptables -A OUTPUT  -p udp -m iprange --src-range 192.168.20.10-192.168.20.13 --dst-range 192.168.3.1-192.168.60.254 -j ACCEPT
iptables -A INPUT -p udp -m iprange --dst-range 192.168.20.10-192.168.20.13 --src-range 192.168.3.1-192.168.60.254 -j ACCEPT
iptables -A OUTPUT  -p icmp -m iprange --src-range 192.168.20.10-192.168.20.13 --dst-range 192.168.3.1-192.168.60.254 -j ACCEPT
iptables -A INPUT -p icmp -m iprange --dst-range 192.168.20.10-192.168.20.13 --src-range 192.168.3.1-192.168.60.254 -j ACCEPT

# Thinclients 192.168.30.x

iptables -A INPUT -p tcp -m iprange --dst-range 192.168.30.10-192.168.30.13 -d 192.168.3.0/24 -j ACCEPT
iptables -A INPUT -p tcp -m iprange --dst-range 192.168.30.10-192.168.30.13 -d 192.168.20.0/24 -j ACCEPT
iptables -A OUTPUT  -p tcp -m iprange --src-range 192.168.30.10-192.168.30.13 -d 192.168.3.0/24 -j ACCEPT
iptables -A OUTPUT  -p tcp -m iprange --src-range 192.168.30.10-192.168.30.13 -d 192.168.20.0/24 -j ACCEPT
iptables -A INPUT -p udp -m iprange --dst-range 192.168.30.10-192.168.30.13 -s 192.168.3.0/24 -j ACCEPT
iptables -A INPUT -p udp -m iprange --dst-range 192.168.30.10-192.168.30.13 -s 192.168.20.0/24 -j ACCEPT
iptables -A OUTPUT  -p udp -m iprange --src-range 192.168.30.10-192.168.30.13 -d 192.168.3.0/24 -j ACCEPT
iptables -A OUTPUT  -p udp -m iprange --src-range 192.168.30.10-192.168.30.13 -d 192.168.20.0/24 -j ACCEPT
iptables -A INPUT -p icmp -m iprange --dst-range 192.168.30.10-192.168.30.13 --src-range 192.168.3.1-192.168.60.254 -j ACCEPT
iptables -A OUTPUT  -p icmp -m iprange --src-range 192.168.30.10-192.168.30.13 --dst-range 192.168.3.1-192.168.60.254 -j ACCEPT

# Rechner(Statisch) 192.168.40.x

iptables -A INPUT -p tcp -m iprange --dst-range 192.168.40.10-192.168.40.20 --src-range 192.168.3.1-192.168.60.254 -j ACCEPT
iptables -A OUTPUT  -p tcp -m iprange --src-range 192.168.40.10-192.168.40.20 --dst-range 192.168.3.1-192.168.60.254 -j ACCEPT
iptables -A INPUT -p udp -m iprange --dst-range 192.168.40.10-192.168.40.20 --src-range 192.168.3.1-192.168.60.254 -j ACCEPT
iptables -A OUTPUT  -p udp -m iprange --src-range 192.168.40.10-192.168.40.20 --dst-range 192.168.3.1-192.168.60.254 -j ACCEPT

iptables -A FORWARD -s 192.168.40.0/24 -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -s 192.168.40.0/24 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -s 192.168.40.0/24 -p tcp --dport 443 -j ACCEPT


# Rechner(Dynamisch) 192.168.50.x

iptables -A INPUT -p tcp -m iprange --dst-range 192.168.50.10-192.168.50.50 -d 192.168.3.0/24 -j ACCEPT
iptables -A INPUT -p tcp -m iprange --dst-range 192.168.50.10-192.168.50.50 -d 192.168.40.0/24 -j ACCEPT
iptables -A OUTPUT  -p tcp -m iprange --src-range 192.168.50.10-192.168.50.50 -d 192.168.3.0/24 -j ACCEPT
ptables -A OUTPUT  -p tcp -m iprange --src-range 192.168.50.10-192.168.50.50 -d 192.168.40.0/24 -j ACCEPT
iptables -A INPUT -p udp -m iprange --dst-range 192.168.50.10-192.168.50.50 -s 192.168.3.0/24 -j ACCEPT
iptables -A INPUT -p udp -m iprange --dst-range 192.168.50.10-192.168.50.50 -s 192.168.40.0/24 -j ACCEPT
iptables -A OUTPUT  -p udp -m iprange --src-range 192.168.50.10-192.168.50.50 -d 192.168.3.0/24 -j ACCEPT
iptables -A OUTPUT  -p udp -m iprange --src-range 192.168.50.10-192.168.50.50 -d 192.168.40.0/24 -j ACCEPT
iptables -A INPUT -p icmp -m iprange --dst-range 192.168.50.10-192.168.50.50 --src-range 192.168.3.1-192.168.60.254 -j ACCEPT
iptables -A OUTPUT  -p icmp -m iprange --src-range 192.168.50.10-192.168.50.50 --dst-range 192.168.3.1-192.168.60.254 -j ACCEPT

# Multimedia 192.168.60.x

iptables -A INPUT -p tcp -m iprange --dst-range 192.168.60.10-192.168.60.254 -d 192.168.3.0/24 -j ACCEPT
iptables -A INPUT -p tcp -m iprange --dst-range 192.168.60.10-192.168.60.254 -d 192.168.40.0/24 -j ACCEPT
iptables -A OUTPUT  -p tcp -m iprange --src-range 192.168.60.10-192.168.60.254 -d 192.168.3.0/24 -j ACCEPT
iptables -A OUTPUT  -p tcp -m iprange --src-range 192.168.60.10-192.168.60.254 -d 192.168.40.0/24 -j ACCEPT
iptables -A INPUT -p udp -m iprange --dst-range 192.168.60.10-192.168.60.254 -s 192.168.3.0/24 -j ACCEPT
iptables -A INPUT -p udp -m iprange --dst-range 192.168.60.10-192.168.60.254 -s 192.168.40.0/24 -j ACCEPT
iptables -A OUTPUT  -p udp -m iprange --src-range 192.168.60.10-192.168.60.254 -d 192.168.3.0/24 -j ACCEPT
iptables -A OUTPUT  -p udp -m iprange --src-range 192.168.60.10-192.168.60.254 -d 192.168.40.0/24 -j ACCEPT
iptables -A INPUT -p icmp -m iprange --dst-range 192.168.60.10-192.168.60.254 --src-range 192.168.3.1-192.168.60.254 -j ACCEPT
iptables -A OUTPUT  -p icmp -m iprange --src-range 192.168.60.10-192.168.60.254 --dst-range 192.168.3.1-192.168.60.254 -j ACCEPT

# Roting DMZ

iptables -A INPUT -p tcp  -d 192.168.0.0/16 -s 192.168.0.0/16 -j REJECT
iptables -A OUTPUT -p tcp  -s 192.168.0.0/16 -d 192.168.0.0/16 -j REJECT
iptables -A INPUT -p udp  -d 192.168.0.0/16 -s 192.168.0.0/16 -j REJECT
iptables -A OUTPUT -p udp  -s 192.168.0.0/16 -d 192.168.0.0/16 -j REJECT
iptables -A INPUT -p icmp  -d 192.168.0.0/16 -s 192.168.0.0/16 -j REJECT
iptables -A OUTPUT -p icmp  -s 192.168.0.0/16 -d 192.168.0.0/16 -j REJECT

#iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 80 -j DNAT --to-destination 192.168.3.100
#iptables -t nat -A POSTROUTING -p tcp -o eth0 --dport 80 -j MASQUERADE

BorneBjoern

Stuemper

  • »BorneBjoern« ist männlich

Beiträge: 898

Wohnort: Koenigstein

  • Nachricht senden

10

13.07.2009, 16:41

wow, das ich haette jetzt nicht gedacht, dass du da wirklich soviel dahinter haengen hast. Das klng fuer mich bisher eher nach nem kleinem "Privat-ich-bastel-mal-ein-wenig-rum-und-schau-mal-was-dann-passiert" Projekt bzw nach einer kleinen Hasuaufgabe. Aber das ist ja etwas groeszeres...

egal..

ich wuerde die nach der Zeile 5 zwei weitere einfuegen, in denen ich eine -"m state" Regel fuer die INPUT und die OUTPUT chain definiere. Damit sicher gestellt ist, dass der gewuenschte Traffic auch fuer diese Packete nicht gedropt wird.


Bevor ich jetzt weiter mache, ist die Frage:

Was funktioniert derzeit und was nicht ?
Was sagen die Logs?
Was sagt das script, wenn du es startest?
Laeuft zusaetzlich noch eine weitere Firewall (bei SuSE zb. muszt du die rcSuSEfirewall2 vorher beenden. denn sonst passiert nicht viel) ?
for Windows problems: reboot
for Linux problems: be root

Rayback

Anfänger

  • »Rayback« ist der Autor dieses Themas

Beiträge: 23

  • Nachricht senden

11

13.07.2009, 17:20

:)

Also mein DMZ (Debian) hat eine Netzwerkkarte eth0. Ich habe sie so zusagen unterteilt, indem ich z.B. eth0:40 für das 40er Netz vergeben habe.
Die Adresse ist 192.168.40.1 und netmask /24.
Ich habe einen Client der die 192.168.3.25 hat. Der kann auch ins Internet.
Sobald ich ihm die Adresse 192.168.40.15 mit dem GW 192.168.40.1 gebe, geht es nicht mehr.
Das ist ein Punkt wo ich nicht weiss wie ich weiter komme das die Netze auch ins Internet können. Ich weiss nicht wie ich es routen soll denn wenn ich keine iptables Regeln aufgestellt habe dann kann ich vom 40er Netz zum 3er Netz pingen.
Mit diesem Script nicht mehr. Das ist der 2. Punkt.
Bei den Logs habe ich nichts besonderes finden können ich habe noch die LOG Regeln zusätzlich eingefügt.
Wenn ich das Script starte, bekomme ich keine Fehlermeldung.
Ich denke die einzige Firewall die ich bis lang habe ist die vom Router (192.168.3.1) selbst.

Mein Ziel ist es alle Pakete vom Router erstmal an den DMZ weiterleiten. Der wiederum soll die Anfragen überprufen und an die jeweiligen Rechner weiterleiten. In einem Netz sind Server. Ich will nicht das jemand z.B. von 50er Netz drauf zugreifen kann darum möchte ich erstmal eine Grundregel haben dass die Netze nicht untereinander kommunizieren sollen.
Ich hoffe ich habe so weit verständlich erklärt. Nochmals danke für deine Zeit und Nerven

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »Rayback« (13.07.2009, 17:23)

linuxerr

Prof. Dr. Schlaumeier

  • »linuxerr« ist männlich

Beiträge: 8 557

Wohnort: Mecklenburg, zur Entwicklungshilfe in Chemnitz/Sachsen ;-)

  • Nachricht senden

12

13.07.2009, 17:20

also ich verstehe nur bahnhof!

was ist denn das für eine netztopologie?
ein dsl-router mit ethernetanschluss nehme ich an, ein server mit einer! netzwerkkarte und klientrechner und alles an einem hub??
oder wie?

wozu benötigt man dann aber so wahnsinnig komplizierte fw-regeln? was soll das werden?
sollen die clienten irgendwie besonders geschützt werden oder was??????? :crazy: :crazy: :crazy:
Die Rechtschreibfehler in diesem Beitrag sind nicht urheberrechtlich geschützt.
Jeder der einen findet darf ihn behalten und in eigenen Werken weiterverwenden.

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »linuxerr« (13.07.2009, 17:21)

BorneBjoern

Stuemper

  • »BorneBjoern« ist männlich

Beiträge: 898

Wohnort: Koenigstein

  • Nachricht senden

13

13.07.2009, 17:25

vor sich selber, wie es den anschein macht. =D
for Windows problems: reboot
for Linux problems: be root

Rayback

Anfänger

  • »Rayback« ist der Autor dieses Themas

Beiträge: 23

  • Nachricht senden

14

13.07.2009, 17:28

@linuxerr

Ich will alle meine Netze mit meinem Linux (Debian) verbinden der als DMZ fungiert. Ich will alle Anfragen von außen durch mein DMZ absichern. Es soll in erster Linie der Sicherheit dienen. Somit will ich auch das einige interne Netze nicht an die Server kommen sollen nur die denen ich es erlaube.

linuxerr

Prof. Dr. Schlaumeier

  • »linuxerr« ist männlich

Beiträge: 8 557

Wohnort: Mecklenburg, zur Entwicklungshilfe in Chemnitz/Sachsen ;-)

  • Nachricht senden

15

13.07.2009, 17:32

für mich klingt das wie das durchspielen einer hausaufgabe, denn da kommt doch nichts praktisch sinnvolles raus! dsl-router und clienten hängen im selben hardware-segment und sind nur softwaremässig durch ihre ips und default-gw einträge voneinander getrennt. eine solche sicherheitsmaßnahme ist doch keinen pfifferling wert, da im prinzip jeder client am server vorbei auf den dsl-router zugreifen könnte, die sicherheitsmaßnahme also nur einen umweg bedeutet, der keine sicherheit bringt. warum die clienten nicht untereinander im selben ip-segment laufen sollen, erschließt sich mir auch nicht.

wäre schön, wenn es da ein paar erklärungen gäbe, wozu das ganze gut sein soll, bevor man sich mit den iptables auseinandersetzt, denn fehler sind da noch genügend drin.

ich würde also gern verstehen, was das werden soll und wozu!
Die Rechtschreibfehler in diesem Beitrag sind nicht urheberrechtlich geschützt.
Jeder der einen findet darf ihn behalten und in eigenen Werken weiterverwenden.

Rayback

Anfänger

  • »Rayback« ist der Autor dieses Themas

Beiträge: 23

  • Nachricht senden

16

13.07.2009, 17:37

Ich will die Firewall des Routers aus machen so dass alles erstmal durchgelassen wird. Nun soll mein DMZ entscheiden was damit passieren soll das ist alles. Es soll nur auf Anfragen reagieren die ein Rechner auch angefragt hat. Wenn z.B. Meine Freunde mit Laptop zu mir kommen und ins Interent wollen somit habe ich eine dynamische IP vergabe eingerichtet. Nun will ich aber nicht das sie auf die Server zugreifen sollen wie auch immer.

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »Rayback« (13.07.2009, 17:38)

BorneBjoern

Stuemper

  • »BorneBjoern« ist männlich

Beiträge: 898

Wohnort: Koenigstein

  • Nachricht senden

17

13.07.2009, 17:40

Prinzipiell musz ich linuxerr zustimmen, dass hier noch ein "paar" Imformationen fehlen. So zBsp auch die komplette IP Konfiguration deiner DMZ Maschine.

auszerdem habe ich hier folgendes gefunden:

"Zwischen eth0 und eth0:1 zu filtern ist ja per Definition schon
sinnlos, da das ja auf dem gleichen Kabel rumschwirrt.
Insofern ist da eine Unterscheidung dieser devices erst mal
sinnfrei."

Somit sollte auch erklaerbar sein, warum das nicht funktionieren kann mit deinen Regeln.
for Windows problems: reboot
for Linux problems: be root

Rayback

Anfänger

  • »Rayback« ist der Autor dieses Themas

Beiträge: 23

  • Nachricht senden

18

13.07.2009, 17:47

Ok dann nehmen wir an ich habe nur eth0 und alles soll darüber erstmal gehen. Aber wie mache ich das jetzt, dass mein 40er Netz auch darüber gehen soll ?
Ich weiss mit "route add" aber irgendwie geht das nicht. Außerdem wie soll ich denn meinen Clients das Standard GW angeben ? Ich kann doch nicht 192.168.3.100 (Debian) eingeben wo der Client im 40er Netz liegt.
Das ist meine IP-Konfiguration:

Quellcode

 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39

eth0      Link encap:Ethernet  Hardware Adresse 00:16:3e:78:f0:11
          inet Adresse:192.168.3.100  Bcast:192.168.254.255  Maske:255.255.255.0
          inet6-Adresse: fe80::216:3eff:fe78:f011/64 Gültigkeitsbereich:Verbind                                                                                                  ung
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metrik:1
          RX packets:2464 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1395 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:1000
          RX bytes:217668 (212.5 KiB)  TX bytes:570018 (556.6 KiB)
          Interrupt:32 Basisadresse:0xc000

eth0:3    Link encap:Ethernet  Hardware Adresse 00:16:3e:78:f0:11
          inet Adresse:192.168.3.14  Bcast:192.168.3.255  Maske:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metrik:1
          Interrupt:32 Basisadresse:0xc000

eth0:20   Link encap:Ethernet  Hardware Adresse 00:16:3e:78:f0:11
          inet Adresse:192.168.20.1  Bcast:192.168.20.255  Maske:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metrik:1
          Interrupt:32 Basisadresse:0xc000

eth0:30   Link encap:Ethernet  Hardware Adresse 00:16:3e:78:f0:11
          inet Adresse:192.168.30.14  Bcast:192.168.30.255  Maske:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metrik:1
          Interrupt:32 Basisadresse:0xc000

eth0:40   Link encap:Ethernet  Hardware Adresse 00:16:3e:78:f0:11
          inet Adresse:192.168.40.1  Bcast:192.168.40.255  Maske:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metrik:1
          Interrupt:32 Basisadresse:0xc000

eth0:50   Link encap:Ethernet  Hardware Adresse 00:16:3e:78:f0:11
          inet Adresse:192.168.50.1  Bcast:192.168.50.255  Maske:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metrik:1
          Interrupt:32 Basisadresse:0xc000

eth0:60   Link encap:Ethernet  Hardware Adresse 00:16:3e:78:f0:11
          inet Adresse:192.168.60.1  Bcast:192.168.60.255  Maske:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metrik:1
          Interrupt:32 Basisadresse:0xc000

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »Rayback« (13.07.2009, 17:49)

BorneBjoern

Stuemper

  • »BorneBjoern« ist männlich

Beiträge: 898

Wohnort: Koenigstein

  • Nachricht senden

19

13.07.2009, 18:01

:keineahnung:

routen kannst du entweder ueber einen DHCP Server verteilen oder du stellst das mit route add default gw 192.168.3.100 oder route add -n 192.168.40.0 network 255.255.255.0 gw 168.168.3.100 auf den einzelnen Maschinen per hand fest. Fuer mehr Informationen: siehe -> man (8) route

Das Gateway muss sich immer im selben Netz befinden, wie der PC - iss ja auch logisch. denn das Gateway ist ja der wegweiser in ein anderes Netz.

auszerdem ist deine eth0 karte nicht zu 100% korrekt konfiguriert. Die richtige Broadcast adresse fuer die 192.168.3.100 /24 waere 192.168.3.255 und nicht 192.168.254.255. Das ist die Broadcast Adresse fuer eine 16er Maske.

Noch was:

Zitat

mit "route add" aber irgendwie geht das nicht.
was soll ich / jeder andere damit anfangen? Geht nicht ist keine Fehlerbeschreibung. Was geht nicht? Wie ist die Fehlermeldeung.... etc. Bitte ein klein wenig genauer!
for Windows problems: reboot
for Linux problems: be root

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »BorneBjoern« (13.07.2009, 18:03)

linuxerr

Prof. Dr. Schlaumeier

  • »linuxerr« ist männlich

Beiträge: 8 557

Wohnort: Mecklenburg, zur Entwicklungshilfe in Chemnitz/Sachsen ;-)

  • Nachricht senden

20

13.07.2009, 18:26

Zitat

Original von Rayback
Ich will die Firewall des Routers aus machen so dass alles erstmal durchgelassen wird. Nun soll mein DMZ entscheiden was damit passieren soll das ist alles.

ok, wenn die firewall des routers abgeschaltet ist, dann können alle vom internen netz ohne zugangskontrolle ins internet, der dmz-rechner hat da dann überhaupt nichts zu sagen und damit ist es auch sinnlos, internetanfragen über ihn zu forwarden und wie gesagt, bei nur einer netzwerkkarte ist das sowieso unsinn.

das einzige, was die clientne abhält untereinander kontakt aufzunehmen ist ihre netzwerkmaske und nicht die firewallregeln auf der dmz und damit sind diese regeln eigentlich auch sinnlos.

mach doch einfach folgendes. formuliere iptables-regeln, die nur netzwerkdevices mit bekannter mac auf den server zugreifen lassen (ausgenommen dhcp) und fertig bist du, dann können deine kumpels nur auf den server zugreifen, wenn sie ihre mac der netzwerkkarte fälschen.
Die Rechtschreibfehler in diesem Beitrag sind nicht urheberrechtlich geschützt.
Jeder der einen findet darf ihn behalten und in eigenen Werken weiterverwenden.
  • 1
  • 2
Thema bewerten