Hinweis: Das Forum wird geschlossen! Neue Registrierungen sind nicht mehr möglich!

 Zurück zu Pro-Linux   Foren-Übersicht   FAQ     Suchen    Mitgliederliste
Router .. nicht so ganz am routen

 
Neuen Beitrag schreiben   Auf Beitrag antworten    Pro-Linux Foren-Übersicht -> Netzwerk
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
friedrich



Anmeldungsdatum: 29.01.2002
Beiträge: 46

BeitragVerfasst am: 31. Jan 2002 20:30   Titel: Router .. nicht so ganz am routen

Ich habe vor einigen Tagen einen Linux-Router aufgesetzt (als Basis dient RedHat). Der Router hat zwei Netzwerkkarten (eth0 und eth1). eth0 ist ein Uplink zum Internet, eth1 ein Link auf unsere Clients. Alle Clients haben "echte" Ips, also wären und waren auch ohne den router vorher direkt ansprechbar. eth1:0 ist dann die Gatewayadresse für die Clients.

Den Kernel habe ich entsprechend kompiliert (eigentlich entsprechend dem Workshop für die firewall auf pro-linux). Ohne weiteres zutun mit ipchains wurden sofort "alle" Pakete immer an den entsprechenden Host/Client gesendet hat. Nur ganz so korrekt scheint es nicht nicht zu laufen - irgendetwas fehlt mir noch, denn wenn ich mich z.B. per FTP auf einem der Clients einloggen will erhalte ich die Fehlermeldung "502 Illegal Port Command, Failed Port" vom FTP-Programm. Passiver Transfer funktioniert hingegen.

So habe ich dann z.B. auch gemerkt, das wenn ich mich von extern auf einem der Clients per SSH einlogge, nicht wie gewohnt und üblich meine IP, sondern die IP des Routers angezeigt wird. Beispiel, ich connecte von zuhause mit der IP Telekom-Dialup IP 62.1.1.50 (rein erfunden, ist eine dynamische IP) per SSH auf einen der Clients und wenn ich mir dann Beispielweise anzeigen lasse wer alles auf dem Client so sein unwesen treibt gibt er mit statt meiner IP 62.1.1.50 die IP des Gateways aus von eth1:0

Ein Server der ebenfalls hinter dem Router sitzt ist über Apache ohne Probleme ansprechbar, nur wie gesagt Dienste wie FTP versagen den ordentlichen Dienst - und eben das alle Ein- und Ausgehenden IPs immer angezeigt werden auf den Cleints, als ob Sie vom Gateway ausgingen, selbst wenn ich von zuhause eine Webseite aufrufe wird auf dem Webserver mitgelogged das Gateway hätte die Webseite besucht nicht ich. ISt ja ganz lustig so anonym, doch auf die Dauer nicht wünschenswert. Und von der Sicherheit her in meinen Augen auch ein Problem.

Da wird doch irgenwie etwas falsch geforwarded/gemapped nach meinen Begriffen? Weiß jemand rat? Ich habe heute und gestern Nacht schon im Internet die eine oder andere Howto gelesen, doch leider bin ich noch nicht wirklich weiter.
 
Benutzer-Profile anzeigen Private Nachricht senden

gewitter



Anmeldungsdatum: 09.04.2001
Beiträge: 1354

BeitragVerfasst am: 01. Feb 2002 0:33   Titel: Re: Router .. nicht so ganz am routen

lokale ip's haben im internet nichts zu suchen, daher erscheint die ip des gateways im internet. um ganz genau zu sein die ip des internet-gerätes. masquerading wird standardmässig eingeschaltet, damit das überhaupt funktioniert. wo kämen wir denn hin, wenn jeder mit 192.168.0.1 im internet rumgeistern würde. kein paket käme richtig an.

mir ist es übrigends ein rätsel, wie du von aussen dich an einen klienten deines internen netzes einloggen willst, das funktioniert wegen der einen erscheinenden ip nicht.
 
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden

friedrich



Anmeldungsdatum: 29.01.2002
Beiträge: 46

BeitragVerfasst am: 01. Feb 2002 10:04   Titel: Re: Router .. nicht so ganz am routen

Naja das weiß ich auch, doch sieh was ich geschrieben habe:

> Alle Clients haben "echte" Ips, also wären und waren auch ohne den router vorher direkt ansprechbar.

Sorry wenn das zu unklar war. Also nochmal: Es sind keine lokalen IPs.
 
Benutzer-Profile anzeigen Private Nachricht senden

trinity



Anmeldungsdatum: 12.10.2001
Beiträge: 821

BeitragVerfasst am: 01. Feb 2002 10:13   Titel: Re: Router .. nicht so ganz am routen

@Friedrich
Was meisnt du mit eth1:0?
Bist du sicher, dass du auf dem Gateway kein Masquerading aktiviert hast. Mir scheint nämlich fast so als würdet ihr jeden ein und ausgehenden traffic maskieren.


@Thomas Mitzkat
Bist du sicher, dass masquerading standard mäßig eingeschaltet wird (nur bei kernel 2.2.x?), bei 2.4.x muss man das AFAIK extra aktivieren.
_________________
"Korrekt, Freundlich, Kostenfrei", wähle genau zwei. (Lutz Donnerhacke in dcsf)
 
Benutzer-Profile anzeigen Private Nachricht senden

gewitter



Anmeldungsdatum: 09.04.2001
Beiträge: 1354

BeitragVerfasst am: 01. Feb 2002 10:57   Titel: Re: Router .. nicht so ganz am routen

@Lutz:
da habe ich mich unverständlich ausgedrückt: man muss standardmässig masquerading einschalten, damit.. ( also selbst den standard definieren)

@Friedrich:
Wenn die computer selbst echte ip's haben, brauchst du keinen router, bzw masquerading ausschalten, forwarding nur aktivieren.
 
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden

friedrich



Anmeldungsdatum: 29.01.2002
Beiträge: 46

BeitragVerfasst am: 01. Feb 2002 11:46   Titel: Re: Router .. nicht so ganz am routen

Mehr oder weniger geht es nun. In rc.local war noch ein ipchains-Eintrag, der den Chain forward auf MasQ gesetzt hat. Änderung auf Accept und es ging. Jetzt muß ich mich nur noch mit der Paketloss von 2-4% auseinandersetzen. Ist zwar ein weites Feld, doch könnte das an der Hardware liegen, weil normale PCI-Ports verwendet werden, die den Datendurchsatz nicht schaffen?

Ganz allgemein, kennt jemand von Euch ein gute Resource im Netz die dieses LinuxRouter Thema behandelt (keine LinuxRouter "Distributionen" gemeint)?
 
Benutzer-Profile anzeigen Private Nachricht senden

friedrich



Anmeldungsdatum: 29.01.2002
Beiträge: 46

BeitragVerfasst am: 01. Feb 2002 11:48   Titel: Re: Router .. nicht so ganz am routen

@Lutz
> Was meisnt du mit eth1:0?

- eth1 ist das interne Netzwerkinterface. Es hat zwei virtuelle Interfaces eth1:0 und eth1:1 die als Gateway für die zwei IP-Netzte fungieren, die die Clients verwenden.

> Bist du sicher, dass du auf dem Gateway kein Masquerading aktiviert hast. Mir scheint nämlich fast so als würdet ihr jeden ein und ausgehenden
> traffic maskieren.

- Doch so war es, danke. Siehe auch weiter oben.
 
Benutzer-Profile anzeigen Private Nachricht senden

trinity



Anmeldungsdatum: 12.10.2001
Beiträge: 821

BeitragVerfasst am: 01. Feb 2002 15:49   Titel: Re: Router .. nicht so ganz am routen

@Friedrich
>Es hat zwei virtuelle Interfaces eth1:0 und eth1:1
Dachte ichs mir doch (nicht, dass es wirklich mit deinem Problem zu tun gehabt hätte).

>Ganz allgemein, kennt jemand von Euch ein gute Resource im Netz die dieses LinuxRouter Thema
ja.
http://netfilter.samba.org
Erstens findet sich da alles zur neuen Netfilter-Architektur (IMHO ein Grund auf Kernel 2.4.x umzusteigen), auch zu ipchains(gleicher Entwickler) und NAT findet sich einiges.
http://www.linuxdoc.org
Dort findet sich das Advanced Routing HOWTO
_________________
"Korrekt, Freundlich, Kostenfrei", wähle genau zwei. (Lutz Donnerhacke in dcsf)
 
Benutzer-Profile anzeigen Private Nachricht senden

slartibartfas



Anmeldungsdatum: 02.06.2000
Beiträge: 38

BeitragVerfasst am: 01. Feb 2002 16:01   Titel: Re: Router .. nicht so ganz am routen

Hab ich das jetzt richtig verstanden? Du hast offizielle IP-Adressen, aber eine Einwahl mit dynamischer IP? Das kann nicht funktionieren. Woher sollten denn die Router im Internet wissen hinter welchem Gateway dein Netz steckt? Mit einer dynamischen IP, kommst du auch mit offiziellen IPs nicht am Masquerading vorbei.
_________________
--
Wie funktioniert Routing? www.e-bits.de
 
Benutzer-Profile anzeigen Private Nachricht senden

trinity



Anmeldungsdatum: 12.10.2001
Beiträge: 821

BeitragVerfasst am: 01. Feb 2002 16:20   Titel: Re: Router .. nicht so ganz am routen

@Slartibartfas
Ich glaube, du hast da was mis(t)verstanden
Die dynamische IP hat er nur zu Hause, mit diesem Computer testet er sein Firmen(?)-Netz mit der fester IP.
_________________
"Korrekt, Freundlich, Kostenfrei", wähle genau zwei. (Lutz Donnerhacke in dcsf)
 
Benutzer-Profile anzeigen Private Nachricht senden

friedrich



Anmeldungsdatum: 29.01.2002
Beiträge: 46

BeitragVerfasst am: 02. Feb 2002 1:22   Titel: Re: Router .. nicht so ganz am routen

Genauso ist es, dynamische IP hab ich von zu Hause aus.
 
Benutzer-Profile anzeigen Private Nachricht senden

Beiträge vom vorherigen Thema anzeigen:   
     Pro-Linux Foren-Übersicht -> Netzwerk Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehen Sie zu:  

Powered by phpBB © phpBB Group
pro_linux Theme © 2004 by Mandaxy