Router .. nicht so ganz am routen

Post Reply
Message
Author
friedrich
Posts: 46
Joined: 29. Jan 2002 0:46

Router .. nicht so ganz am routen

#1 Post by friedrich »

Ich habe vor einigen Tagen einen Linux-Router aufgesetzt (als Basis dient RedHat). Der Router hat zwei Netzwerkkarten (eth0 und eth1). eth0 ist ein Uplink zum Internet, eth1 ein Link auf unsere Clients. Alle Clients haben "echte" Ips, also wären und waren auch ohne den router vorher direkt ansprechbar. eth1:0 ist dann die Gatewayadresse für die Clients.

Den Kernel habe ich entsprechend kompiliert (eigentlich entsprechend dem Workshop für die firewall auf pro-linux). Ohne weiteres zutun mit ipchains wurden sofort "alle" Pakete immer an den entsprechenden Host/Client gesendet hat. Nur ganz so korrekt scheint es nicht nicht zu laufen - irgendetwas fehlt mir noch, denn wenn ich mich z.B. per FTP auf einem der Clients einloggen will erhalte ich die Fehlermeldung "502 Illegal Port Command, Failed Port" vom FTP-Programm. Passiver Transfer funktioniert hingegen.

So habe ich dann z.B. auch gemerkt, das wenn ich mich von extern auf einem der Clients per SSH einlogge, nicht wie gewohnt und üblich meine IP, sondern die IP des Routers angezeigt wird. Beispiel, ich connecte von zuhause mit der IP Telekom-Dialup IP 62.1.1.50 (rein erfunden, ist eine dynamische IP) per SSH auf einen der Clients und wenn ich mir dann Beispielweise anzeigen lasse wer alles auf dem Client so sein unwesen treibt gibt er mit statt meiner IP 62.1.1.50 die IP des Gateways aus von eth1:0

Ein Server der ebenfalls hinter dem Router sitzt ist über Apache ohne Probleme ansprechbar, nur wie gesagt Dienste wie FTP versagen den ordentlichen Dienst - und eben das alle Ein- und Ausgehenden IPs immer angezeigt werden auf den Cleints, als ob Sie vom Gateway ausgingen, selbst wenn ich von zuhause eine Webseite aufrufe wird auf dem Webserver mitgelogged das Gateway hätte die Webseite besucht nicht ich. ISt ja ganz lustig so anonym, doch auf die Dauer nicht wünschenswert. Und von der Sicherheit her in meinen Augen auch ein Problem.

Da wird doch irgenwie etwas falsch geforwarded/gemapped nach meinen Begriffen? Weiß jemand rat? Ich habe heute und gestern Nacht schon im Internet die eine oder andere Howto gelesen, doch leider bin ich noch nicht wirklich weiter.

gewitter
Posts: 1354
Joined: 09. Apr 2001 9:03

Re: Router .. nicht so ganz am routen

#2 Post by gewitter »

lokale ip's haben im internet nichts zu suchen, daher erscheint die ip des gateways im internet. um ganz genau zu sein die ip des internet-gerätes. masquerading wird standardmässig eingeschaltet, damit das überhaupt funktioniert. wo kämen wir denn hin, wenn jeder mit 192.168.0.1 im internet rumgeistern würde. kein paket käme richtig an.

mir ist es übrigends ein rätsel, wie du von aussen dich an einen klienten deines internen netzes einloggen willst, das funktioniert wegen der einen erscheinenden ip nicht.

friedrich
Posts: 46
Joined: 29. Jan 2002 0:46

Re: Router .. nicht so ganz am routen

#3 Post by friedrich »

Naja das weiß ich auch, doch sieh was ich geschrieben habe:

> Alle Clients haben "echte" Ips, also wären und waren auch ohne den router vorher direkt ansprechbar.

Sorry wenn das zu unklar war. Also nochmal: Es sind keine lokalen IPs.

trinity
Posts: 821
Joined: 12. Oct 2001 10:04

Re: Router .. nicht so ganz am routen

#4 Post by trinity »

@Friedrich
Was meisnt du mit eth1:0?
Bist du sicher, dass du auf dem Gateway kein Masquerading aktiviert hast. Mir scheint nämlich fast so als würdet ihr jeden ein <u>und</u> ausgehenden traffic maskieren.


@Thomas Mitzkat
Bist du sicher, dass masquerading standard mäßig eingeschaltet wird (nur bei kernel 2.2.x?), bei 2.4.x muss man das AFAIK extra aktivieren.
"Korrekt, Freundlich, Kostenfrei", wähle genau zwei. (Lutz Donnerhacke in dcsf)

gewitter
Posts: 1354
Joined: 09. Apr 2001 9:03

Re: Router .. nicht so ganz am routen

#5 Post by gewitter »

@Lutz:
da habe ich mich unverständlich ausgedrückt: man muss standardmässig masquerading einschalten, damit.. ( also selbst den standard definieren)

@Friedrich:
Wenn die computer selbst echte ip's haben, brauchst du keinen router, bzw masquerading ausschalten, forwarding nur aktivieren.

friedrich
Posts: 46
Joined: 29. Jan 2002 0:46

Re: Router .. nicht so ganz am routen

#6 Post by friedrich »

Mehr oder weniger geht es nun. In rc.local war noch ein ipchains-Eintrag, der den Chain forward auf MasQ gesetzt hat. Änderung auf Accept und es ging. Jetzt muß ich mich nur noch mit der Paketloss von 2-4% auseinandersetzen. Ist zwar ein weites Feld, doch könnte das an der Hardware liegen, weil normale PCI-Ports verwendet werden, die den Datendurchsatz nicht schaffen?

Ganz allgemein, kennt jemand von Euch ein gute Resource im Netz die dieses LinuxRouter Thema behandelt (keine LinuxRouter "Distributionen" gemeint)?

friedrich
Posts: 46
Joined: 29. Jan 2002 0:46

Re: Router .. nicht so ganz am routen

#7 Post by friedrich »

@Lutz
> Was meisnt du mit eth1:0?

- eth1 ist das interne Netzwerkinterface. Es hat zwei virtuelle Interfaces eth1:0 und eth1:1 die als Gateway für die zwei IP-Netzte fungieren, die die Clients verwenden.

> Bist du sicher, dass du auf dem Gateway kein Masquerading aktiviert hast. Mir scheint nämlich fast so als würdet ihr jeden ein und ausgehenden
> traffic maskieren.

- Doch so war es, danke. Siehe auch weiter oben.

trinity
Posts: 821
Joined: 12. Oct 2001 10:04

Re: Router .. nicht so ganz am routen

#8 Post by trinity »

@Friedrich
>Es hat zwei virtuelle Interfaces eth1:0 und eth1:1
Dachte ichs mir doch (nicht, dass es wirklich mit deinem Problem zu tun gehabt hätte).

>Ganz allgemein, kennt jemand von Euch ein gute Resource im Netz die dieses LinuxRouter Thema
ja.
<a href="http://netfilter.samba.org" target="_blank"><!--auto-->http://netfilter.samba.org</a><!--auto-->
Erstens findet sich da alles zur neuen Netfilter-Architektur (IMHO ein Grund auf Kernel 2.4.x umzusteigen), auch zu ipchains(gleicher Entwickler) und NAT findet sich einiges.
<a href="http://www.linuxdoc.org" target="_blank"><!--auto-->http://www.linuxdoc.org</a><!--auto-->
Dort findet sich das Advanced Routing HOWTO
"Korrekt, Freundlich, Kostenfrei", wähle genau zwei. (Lutz Donnerhacke in dcsf)

slartibartfas
Posts: 38
Joined: 02. Jun 2000 14:49

Re: Router .. nicht so ganz am routen

#9 Post by slartibartfas »

Hab ich das jetzt richtig verstanden? Du hast offizielle IP-Adressen, aber eine Einwahl mit dynamischer IP? Das kann nicht funktionieren. Woher sollten denn die Router im Internet wissen hinter welchem Gateway dein Netz steckt? Mit einer dynamischen IP, kommst du auch mit offiziellen IPs nicht am Masquerading vorbei.
--
Wie funktioniert Routing? www.e-bits.de

trinity
Posts: 821
Joined: 12. Oct 2001 10:04

Re: Router .. nicht so ganz am routen

#10 Post by trinity »

@Slartibartfas
Ich glaube, du hast da was mis(t)verstanden <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">
Die dynamische IP hat er nur zu Hause, mit diesem Computer testet er sein Firmen(?)-Netz mit der fester IP.
"Korrekt, Freundlich, Kostenfrei", wähle genau zwei. (Lutz Donnerhacke in dcsf)

friedrich
Posts: 46
Joined: 29. Jan 2002 0:46

Re: Router .. nicht so ganz am routen

#11 Post by friedrich »

Genauso ist es, dynamische IP hab ich von zu Hause aus.

Post Reply