Hallo
Ich brauche dringende Hilfe. Ich bin ein Newbie in Sachen Linux oder Firewalls. Ich muß nun im Zuge einer Projektarbeit eine Linuxmaschine mit Firewall installieren. Ich habe da so meine Probleme.
Ich befinde mich in einem Netzwerk mit drei Servern, 20 Clients und einem SDSL-Router, der auch Standart-Gateway ist. Nun soll ich zwischen den SDSL-Router und dem Netz eine Linuxmaschine mit zwei Netzwerkkarten hängen. Ich frage mal direkt wie muß ich die Linux-Maschine einrichten? Erste Netzwerkarte wäre eine 3Com und die zweite eine Netgear. An die 3Com mit eth0 schließe ich den Router an. An die Netgear mit eth1 das interne Netz. An dem Punkt versuche ich die Geräte zu pingen, aber ich bekomme nur Antworten von Geräten, die an eth0 hängen. Mit "hwinfo --netcard" sehe ich aber, daß eth1 aktiv sein soll. Denke ich falsch oder muß ich nicht diese Karte tatsächlich aktiv haben um die Geräte zu pingen.
Wenn ich dieses Problem lösen könnte, könnte ich auch die Firewall einrichten.
Bitte helft mir.
Danke
Zafer
Suse 8.1 und Firewall
-
ChrisPr
Re: Suse 8.1 und Firewall
wäre mal interessant wie deine Netzwerk-konfiguration aussieht ..
ip-adresse, netzwerkmaske ..
grüsse
ChrisPr
ip-adresse, netzwerkmaske ..
grüsse
ChrisPr
-
Zafer
Re: Suse 8.1 und Firewall
Das interne Netz hat eine zehner Belegung. Zum Beispiel 10.0.3.3 wäre der Server. Der SDSL-Router hat die 10.0.3.2. Ist auch sonst der Standart-Gateway.
Die Karten an der Linuxmaschine haben folgende IP-Adressen:
eth0 10.0.3.7 (geht zum SDSL-Router)
eth1 10.0.3.8 (geht zum internen Netz
Die Karten an der Linuxmaschine haben folgende IP-Adressen:
eth0 10.0.3.7 (geht zum SDSL-Router)
eth1 10.0.3.8 (geht zum internen Netz
-
a2mueller
Re: Suse 8.1 und Firewall
Hallo
1.) mach mal unter root ifconfig und poste die ausgabe
2.) ich würde ja getrennte Subnetze verwenden
1.) mach mal unter root ifconfig und poste die ausgabe
2.) ich würde ja getrennte Subnetze verwenden
-
ratte
Re: Suse 8.1 und Firewall
sind die nics inzwischen umsonst, dass sich alle mit 2en in einem rechner beschaeftigen?
also, zum xten male, ich habe leider nicht mitgezaehlt und bin zu faul zum suchen:
ein rechner kann nur routen, wenn seine nics mit netzrouten in verschiedene subnetze fuehren:
die routing table meines gateways:
<blockquote><pre><font size="1" face="">code:</font><hr><font face="Courier New" size="2">
# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
172.16.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
0.0.0.0 192.168.0.1 0.0.0.0 UG 1 0 0 eth1
</font><hr></pre></blockquote>
das 172er ist mein netz, das 192 fuehrt zur auswahlhardware, deshalb ist auch standardgateway gesetzt.
wuerde eth0 auch eine ip aus dem 192er netz haben, kann nicht mehr unterschieden werden, welche packete an eth1 gehen sollen und alle packete gehen ueber eth0 (erster mahlt zuerst IMHO).
also, wenn du auf dem sdslrouter die ip nicht aendern darst, sodass auf deinem projektrechner zwei subnetze bedient werden koennen, sehe ich da einfache keine loesung, da es dann beim beschriebenen problem bleibt und auch mit iptables mit prerouting/postrouting nichts gemacht werden kann.
<b>loesungsvorschlag 1:</b>
da die 20 clients den sdsl router als standardgateway haben, muss dein projektrecher seine ip bekommen und seinerseits die neue ip des sdsl-rechners als standardgateway kriegen.
<b>loesungsvorschlag 2:</b>
(nur kurz ueberlesen, noch nicht selbst gemacht) du konfigurierst deinen projektrechner als bridge, offenbar funzt das auch mit firewalling.
doku hierzu mini-howtos Bridge und Bridge+Firewall
der vorteil hierbei ist, das dein projektrechner <i>keine eigene ip bekommt</i> und auf dem sdslrechner keine aenderungen vorgenommen werden sollen.
in jedem fall brauchst du literatur ueber netzwerkrouting, firewalling und, natuerlich, linux.
ratte
ratte
also, zum xten male, ich habe leider nicht mitgezaehlt und bin zu faul zum suchen:
ein rechner kann nur routen, wenn seine nics mit netzrouten in verschiedene subnetze fuehren:
die routing table meines gateways:
<blockquote><pre><font size="1" face="">code:</font><hr><font face="Courier New" size="2">
# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
172.16.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
0.0.0.0 192.168.0.1 0.0.0.0 UG 1 0 0 eth1
</font><hr></pre></blockquote>
das 172er ist mein netz, das 192 fuehrt zur auswahlhardware, deshalb ist auch standardgateway gesetzt.
wuerde eth0 auch eine ip aus dem 192er netz haben, kann nicht mehr unterschieden werden, welche packete an eth1 gehen sollen und alle packete gehen ueber eth0 (erster mahlt zuerst IMHO).
also, wenn du auf dem sdslrouter die ip nicht aendern darst, sodass auf deinem projektrechner zwei subnetze bedient werden koennen, sehe ich da einfache keine loesung, da es dann beim beschriebenen problem bleibt und auch mit iptables mit prerouting/postrouting nichts gemacht werden kann.
<b>loesungsvorschlag 1:</b>
da die 20 clients den sdsl router als standardgateway haben, muss dein projektrecher seine ip bekommen und seinerseits die neue ip des sdsl-rechners als standardgateway kriegen.
<b>loesungsvorschlag 2:</b>
(nur kurz ueberlesen, noch nicht selbst gemacht) du konfigurierst deinen projektrechner als bridge, offenbar funzt das auch mit firewalling.
doku hierzu mini-howtos Bridge und Bridge+Firewall
der vorteil hierbei ist, das dein projektrechner <i>keine eigene ip bekommt</i> und auf dem sdslrechner keine aenderungen vorgenommen werden sollen.
in jedem fall brauchst du literatur ueber netzwerkrouting, firewalling und, natuerlich, linux.
ratte
ratte
-
Zafer
Re: Suse 8.1 und Firewall
Ich habe tatsächlich zwei getrennte Subnetze gemacht und nun geht es, daß ich die internen und externen Adressen anpingen kann, aber von den internen Maschinen kann ich kein ping in die Welt setzen. Oder surfen.
---------------------------------
Hier ifconfig-.Ausgabe:
eth0 Link encap:Ethernet HWaddr 00:50:04:F6:1E:B3
inet addr:10.0.3.7 Bcast:10.0.3.255 Mask:255.255.255.0
inet6 addr: fe80::250:4ff:fef6:1eb3/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1317 errors:0 dropped:0 overruns:1 frame:0
TX packets:1843 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:877121 (856.5 Kb) TX bytes:230068 (224.6 Kb)
Interrupt:10 Base address:0xfc00
eth1 Link encap:Ethernet HWaddr 00:40:F4:53:31:BD
inet addr:10.0.4.8 Bcast:10.0.4.255 Mask:255.255.255.0
inet6 addr: fe80::240:f4ff:fe53:31bd/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1127 errors:0 dropped:0 overruns:0 frame:0
TX packets:209 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:99519 (97.1 Kb) TX bytes:16932 (16.5 Kb)
Interrupt:5 Base address:0x7000
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:672 errors:0 dropped:0 overruns:0 frame:0
TX packets:672 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:43546 (42.5 Kb) TX bytes:43546 (42.5 Kb)
--------------------------------
Und hier die route -n Ausgabe:
Destination Gateway Genmask Flags Metric Ref Use Iface
10.0.4.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
10.0.3.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 10.0.3.2 0.0.0.0 UG 0 0 0 eth0
---------------------------------
Hier ifconfig-.Ausgabe:
eth0 Link encap:Ethernet HWaddr 00:50:04:F6:1E:B3
inet addr:10.0.3.7 Bcast:10.0.3.255 Mask:255.255.255.0
inet6 addr: fe80::250:4ff:fef6:1eb3/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1317 errors:0 dropped:0 overruns:1 frame:0
TX packets:1843 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:877121 (856.5 Kb) TX bytes:230068 (224.6 Kb)
Interrupt:10 Base address:0xfc00
eth1 Link encap:Ethernet HWaddr 00:40:F4:53:31:BD
inet addr:10.0.4.8 Bcast:10.0.4.255 Mask:255.255.255.0
inet6 addr: fe80::240:f4ff:fe53:31bd/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1127 errors:0 dropped:0 overruns:0 frame:0
TX packets:209 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:99519 (97.1 Kb) TX bytes:16932 (16.5 Kb)
Interrupt:5 Base address:0x7000
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:672 errors:0 dropped:0 overruns:0 frame:0
TX packets:672 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:43546 (42.5 Kb) TX bytes:43546 (42.5 Kb)
--------------------------------
Und hier die route -n Ausgabe:
Destination Gateway Genmask Flags Metric Ref Use Iface
10.0.4.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
10.0.3.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 10.0.3.2 0.0.0.0 UG 0 0 0 eth0
-
ratte
Re: Suse 8.1 und Firewall
donerschlach, das funzt net?
inetanfragen kommen aus dem lokalen netz an den projektrechner, der das an den sdslrechner weiterleitet wegen der default route und zwar mit den internen ips, das steht schon mal fest.
ab sdslrechner ist nun zu raten, was da passiert.
-kriegt der sdsl-rechner die anfragen?
-gibt er auch antworten zurueck?
am besten mal alle rechner vom internen netz ab, bis auf einen, den du alleine bedienst. auf dem machste ein ping auf eine ip vom internet.
auf dem projektrechner laesste tcpdump auf beide interfaces laufen, auf dem sdslrechner auch.
testweise kannste ja erstmal nur den projektrechner anpingen, damit du das frage und antwortspiel mal siehst.
ja, und dann sollte dir das aufschluss geben, woher keine antwort kommt.
uebrigens, bei console outputs bitte das zitat in ub-code , code , siehe help einschliessen, dann geht die formatierung nicht verloren, dass hilft beim lesen sehr.
ratte
ps:
oder hast du einfach die netzroute auf dem sdsl-rechner vergessen?
<b>route add -net 10.0.3.0 netmask 255.255.255.0 dev eth0</b>, wobei nun aber laut deiner beschreibung vom projektserver eth1 zum sdslrechner geht, der nun offenbar eine ip aus dem 10.0.4.0er netz haben muss, oder?
inetanfragen kommen aus dem lokalen netz an den projektrechner, der das an den sdslrechner weiterleitet wegen der default route und zwar mit den internen ips, das steht schon mal fest.
ab sdslrechner ist nun zu raten, was da passiert.
-kriegt der sdsl-rechner die anfragen?
-gibt er auch antworten zurueck?
am besten mal alle rechner vom internen netz ab, bis auf einen, den du alleine bedienst. auf dem machste ein ping auf eine ip vom internet.
auf dem projektrechner laesste tcpdump auf beide interfaces laufen, auf dem sdslrechner auch.
testweise kannste ja erstmal nur den projektrechner anpingen, damit du das frage und antwortspiel mal siehst.
ja, und dann sollte dir das aufschluss geben, woher keine antwort kommt.
uebrigens, bei console outputs bitte das zitat in ub-code , code , siehe help einschliessen, dann geht die formatierung nicht verloren, dass hilft beim lesen sehr.
ratte
ps:
oder hast du einfach die netzroute auf dem sdsl-rechner vergessen?
<b>route add -net 10.0.3.0 netmask 255.255.255.0 dev eth0</b>, wobei nun aber laut deiner beschreibung vom projektserver eth1 zum sdslrechner geht, der nun offenbar eine ip aus dem 10.0.4.0er netz haben muss, oder?