Linux als Router im Windows Netzwerk

Post Reply
Message
Author
fraggy0112
Posts: 4
Joined: 13. Jan 2006 22:37

Linux als Router im Windows Netzwerk

#1 Post by fraggy0112 »

Hi
Nachdem ich endlich Linux mit minimal grafischer oberfläche am laufen hatte (siehe letzten beitrag von mir ;D)
wollte ich nun das netzwerk einrichten
mein vorhaben:
einen Linux rechner als DSL-Router in einem kleinen Windows Netzwerk.

ich habe also zwei netzwerkkarten eingebaut eine D-Link DFE 530TX und eine Realtek ... irgendwas.

dann habe ich das dsl modem an die Realtek
und den switch halt an die D-Link

Zu testzwecken habe ich beiden karten erst einmal eine statische IP-Adresse gegeben
die eine hatte die 192.168.2.100 die andere die 192.168.2.99 ich konnte vom windows clienten beide karten anpingen und umgekehrt also geht das ip forwarding (1te unklar heit: ich bin mir nicht sicher bin ob ich das Ip-Forwarding einschalten muss wenn sie im gleichen netz sind, normalerweise schon da der ja zwischen den beiden geräten routen soll oder taeusch ich mich andernfalls wenns zwei verschiedene netze sind muss ich ja noch die route eingeben). Wie beschrieben klappte das wunderbar so dann hab ich die realtek als dhcp konfiguriert (2tes problem muss ich die karte als dhcp aktivieren ? (eigentlich ja da die ip ja vom provider vergeben wird) . So dann wieder gepingt, ging auch noch, hab dann das dsl eingerichtet (dazu muss ich sagen ich habe es zuvor mit einer karte schonmal eingerichtet und es lief wunderbar), diesmal jedoch zeigte er mir kein dsl0 an auch nach einem neustart nicht, desweiteren muss ich anmerken das er beim hochfahren meldet: realtek rhine interrupt aber das meldet er schon oefter und auch nicht jedesmal und hin und wieder gehts trozdem und andere karten hab ich auch schon getestet bei irgendeiner meldet er diesen fehler dann.

ich habe mir auch ein buch besorgt: "Linux im Windows netzwerk" das thema routen wird zwar behandelt aber mehr oder weniger oberflächlich was die konfiguration der karten betrifft

koennt ihr mir helfen ???

MFG
Fraggy

User avatar
killerhippy
Posts: 529
Joined: 19. May 2000 19:36
Contact:

#2 Post by killerhippy »

Bei einer Netzwerkmaske von 255.255.255.0, die wahrscheinlich vorliegt, liegen 192.168.2.100 und 192.168.2.99 im gleichen Netz und da die Maschine antwortet, kannst du beide IPs anpingen. Vielleicht hilft dir das Pro Linux: Routing Mini-Handbuch von mir weiter.
Es gibt keine dumme Fragen!

Killerhippy

Gast

#3 Post by Gast »

An der Modem-Netzwerkkarte kein (übliches) TCP/IP-Netzwerk einrichten!
(2tes problem muss ich die karte als dhcp aktivieren ? (eigentlich ja da die ip ja vom provider vergeben wird)
Nein. Aber irgendwo sagen, das dies die Karte für PPPOE (bzw. für's DSL-Modem ist)
Nein. Die IP bekommt dein Modem bzw. das entsprechende virtuelle Device in deinem Rechner/DSL-Router. Die Ethernetverbindung Modem<->Router hat genau so wenig mit TCP/IP zu tun, wie deine Telefonleitung.

Bitte Firewall nicht vergessen!!![/quote]

Gast

#4 Post by Gast »

Wenn Du z.B. ein USB-DSL-Modem hättest, würdest Du sicherlich auch nicht versuchen, der USB-Schnittstelle eine IP zu zuweisen. Genau so wenig benötigen dies die Ethernetschittstellen Modem<->Router.
Das Modem wird auf das virtuelle device in deinem Rechner (/dev/dsl0 ?) abgebildet, ob die Verbindung per USB, Ethernet, RS485 ... erfolgt, hat nichts mit der IP des Modems zu tun. In deinem Fall kümmert sich PPPOE darum, und da es sich auch nur um eine physikalische Punkt-zu-Punkt (Ethernet)Verbindung handelt, sind auch die MACs egal.

becher

Routing und Firewall

#5 Post by becher »

Hallo Killerhippy,
dein Minihowto erklärt super die Grundlagen. Ich bin der Meinung, ich hätte es verstanden. Trotzdem kriege ich die Routingtabelle nicht ordentlich hin und ich glaube das ist auch die Frage von fraggy. Wie wäre es mal mit Beispielen? Ich habe hier einen Kubuntu-Rechner als Router eingerichtet. eth0 verbindet mit dem Kabelmodem und wird mit DHCP eingerichtet. eth2 verbindet mit dem internen Netzwerk und ist statisch mit 192.168.0/24 konfiguriert. Um zu routen habe ich mir ein kleines Skript aus dem Internet kopiert:
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -F
iptables -X
iptables -L
Das lässt natürlich alles durch und ist vergleichbar mit Windows ohne Firewall. Ich würde es aber gerne sicherer haben. Wie müsste man das Skript ändern um alles über 192.168.0.1 zu schicken?

User avatar
killerhippy
Posts: 529
Joined: 19. May 2000 19:36
Contact:

#6 Post by killerhippy »

@becher:

Eine Linux-Installation routet, wenn /proc/sys/net/ipv4/ip_forward eine 1 enthält, steht dort eine 0, wird nicht geroutet.

Routen bedeutet, dass die Linuxbox IP-Packete in andere Netze weitergibt.
[Beispiel]
LinuxRechner namens "x-ray"
eth0 IP-Adresse 192.168.0.1 Netz 192.168.0.0 Netzmaske 255.255.255.0
eth1 IP-Adresse 10.0.0.1 Netz 10.0.0.0 Netzmaske 255.0.0.0
eth2 DHCP Kabelmodemanschluss, automatisch default route auf diesem Rechner

Alle Rechner im Netz 192.168.0..0/24 haben die IP-Adresse 192.168.0.1 als default gateway eingetragen, den Rechner x-ray.
Alle Rechner im Netz 10.0.0.0/8 haben die IP-Adresse 10.0.0.1 als default gateway eingetragen, den Rechner x-ray.

Z.B. hat ein Rechner aus dem Netz 192.168.0..0/24 namens "workbox-linus" mit der IP-Adresse 192.168.0.23 und der Netzmaske 255.255.255.0. Dadurch hat er automatisch eine Netzroute in das Netz 192.168.0.0/24 und kann z.B. "workaholic-alan" mit der IP-Adresse 192.168.0.55 erreichen und braucht noch nichtmal den Router x-ray, genaus geht es workaholic-alan mit workbox-linus.
Im Netz 10.0.0.0/8 befindet sich u.a. 10.0.1.10 "admin-chef-andy". Dieser Rechner hat eine Netzmaske von 255.0.0.0 und kennt das Netz 10.0.0.0/8.
Alle genannten Rechner haben die Router-IP-Adresse aus ihrem Netz als default gateway eingetragen.
Andy, auf admin-chef-andy eingeloggt, vermutet einen Trojaner auf workbox-linus, und startet einen administratorischen Befehl:

nmap -P0 -sS 192.168.0.23

IP-Packete verlassen admin-chef-andy und treffen mit Ziel 10.0.0.1 auf das Interface eth1 von x-ray da sie nicht in das Netz 192.168.0..0/24 passen und keine weitere Netzroute vorhanden ist, daher wird die default route von admin-chef-andy verwendet.
x-ray hat eine 1 in ip_forward und nach betrachten der IP-Packete weiss x-ray bescheid, er wirft die Packete auf eth0 wieder raus.
workbox-linus antwortet und antwortet nicht auf die IP-Packete aus dem Netz 10.0.0.0/8 und hier herrscht die gleiche Situation, das Netz ist unbekannt und die Packete fallen in die default route.

Schnarchie, sein Rechner hat die IP-Adresse 10.0.0.99, das tut aber nix zur Sache, wichtig ist, er hat sich als root an x-ray angemeldet und schreibt eine 0 in ip_forward.
Nun bekommt Andy prompt, weil sein Scan noch läuft, Fehlermeldungen, dass das Netz für seinen scan nicht mehr erreichbar ist...
[/Beispiel]
Es gibt keine dumme Fragen!

Killerhippy

User avatar
killerhippy
Posts: 529
Joined: 19. May 2000 19:36
Contact:

#7 Post by killerhippy »

Im Beispiel von mir könnte man nun auf x-ray ein packet-filter-script oder ein Produkt einer Firma mit grafischer Oberfläche zur Firewall-Administration installieren, oder Andy, der hat das Buch Buch "Einrichten von Internet Firewalls" aus dem O'Reilly Verlag mit der ISBN-Nr. 3-89721-169-6 gelesen und schreibt sich sein Script selbst.
Schnarchie sucht nach fertig vorkonfigurierten iptables-Scripten und Flitzpiepe, der Praktikant, liest sich Lizenzbedingungen und Preislisten für Firewall-Produkte durch.

Witzigerweise bekommt Flitzpiepe dadurch beim Chef der Firma ein Stein im Brett, als der Chef zufällig einen forschenden Blick auf die Skizzen zur Gegenüberstellung der verschiedenen Produkte wirft, die Fltizpiepe für seine Praktikumsdokumentation angefertigt hat ("Da sind coole pix dabei!") und Andy bekommt statt eines freundlichen Guten Morgens nur ein "jaja, Tach" gemurmelt, weil der Chef mal wieder keine Ahnung hat, was Andy eigentlich macht.

Du kannst es genauso machen, du kannst dir das Buch kaufen und alles selbst machen, oder du suchst dir fertige Scripte um darin auch rumzufummeln, oder du besorgst dir so ne Grafik-UI wo du darin alles einstellen kannst, ohne genaue Kenntnisse zu haben oder erlangen zu wollen...
Es gibt keine dumme Fragen!

Killerhippy

Post Reply