Linux iptables - Einsteigerbeispiel
Mario
- webserver
0 Mario0 Sven Rautenberg0 Mario0 Sven Rautenberg0 Mario
Hallo
Kann mir jemand zeigen, wie die Konfigurationszeile in iptables lauten muss damit alle nach aussen gehenden Anfragen aus dem Netzwerk von der Firewall 192.168.1.2 auf den ADSL Router 192.168.1.1 umgeleitet werden?
Gruss Mario
...kurz, man sollte einfach aus dem Netzwerk surfen können...
Moin!
Kann mir jemand zeigen, wie die Konfigurationszeile in iptables lauten muss damit alle nach aussen gehenden Anfragen aus dem Netzwerk von der Firewall 192.168.1.2 auf den ADSL Router 192.168.1.1 umgeleitet werden?
Wieso hast du eine Firewall? Wieso hast du einen Router? Wieso ist der Router nicht die Firewall? Wie ist denn alles verkabelt? Und wieso ist die Firewall nicht Router?
- Sven Rautenberg
Hallo Sven
Wieso hast du eine Firewall? Wieso hast du einen Router? Wieso ist der Router nicht die Firewall? Wie ist denn alles verkabelt? Und wieso ist die Firewall nicht Router?
Ich habe in einem Windows Netzwerk einen älteren Laptop mit Fedora Linux. Als ADSL-Router habe ich den Netopia Cayman 3341. Dieser unterstützt zwar NAT, doch soviel ich weiss kann ich keine zusätzlichen benutzerdefinierten Regeln definieren...
Alle Windows-Rechner sollen darum über die Linux-Maschine auf den ADSL-Router umgeleitet werden. Auf der Linux-Maschine möchte ich dann bestimmte Richtlinien definieren. Evtl. möchte ich aber auch dort festlegen, welcher Rechner wieviel Bandbreite kriegt und auf welche Seiten er zugreifen darf...
Ich hoffe jetzt ists klarer geworden
Mario
Moin!
Ich habe in einem Windows Netzwerk einen älteren Laptop mit Fedora Linux. Als ADSL-Router habe ich den Netopia Cayman 3341. Dieser unterstützt zwar NAT, doch soviel ich weiss kann ich keine zusätzlichen benutzerdefinierten Regeln definieren...
Ok, dein Setup ist also:
ADSL --- NATRouter --+------------------------ Clients
|
Firewall
Wie du sicherlich zugeben wirst, ist die Firewall nicht wirklich eine Firewall, sondern eher ein mickriges, unscheinbares Häufchen am Rande der Strecke.
Deshalb ja auch meine Fragen, die genau offenbarten, was ich vermutete.
Dein Setup kannst du getrost in die Tonne treten. Das bringt so überhaupt nichts.
Du kannst entweder (ich deutete es an) den NATRouter als Firewall nehmen - das geht nicht, sagst du. Pech für den Router, kommt er eben auf den Müll.
Alternativ kannst du _anstatt_ des Routers deinen Linux-Selbstbau hinpflanzen. Das wird mutmaßlich nur daran scheitern, dass dein Laptop nur eine einzige Netzwerkschnittstelle hat, aber zwingend mindestens zwei Stück braucht, damit an der einen dein internes Netzwerk angeschlossen werden kann, und an der anderen das DSL.
Alle Windows-Rechner sollen darum über die Linux-Maschine auf den ADSL-Router umgeleitet werden. Auf der Linux-Maschine möchte ich dann bestimmte Richtlinien definieren. Evtl. möchte ich aber auch dort festlegen, welcher Rechner wieviel Bandbreite kriegt und auf welche Seiten er zugreifen darf...
Dein Netzwerk-Layout ist deswegen blödsinnig, weil du es hardwaremäßig ja nicht garantieren kannst, dass die Clients immer brav bei der Firewall anklopfen, wenn sie Bandbreite wollen. Sie können genausogut ja einfach direkt zum Router senden und empfangen.
Eben deshalb ist es blödsinnig, einen NAT-Router und "daneben" eine Firewall zu haben. Die Firewall muß, wenn überhaupt, netzwerktechnisch _dazwischen_, damit sie das Netz zwischen Firewall und Router vom Netz dahinter (mit den Clients dran) trennt.
Und insbesondere muß die Firewall zwingend ein Router sein - auch wenn die Firewall natürlich Pakete filtert. Aber wissen, wohin sie gehen sollen, ist natürlich auch wichtig.
Wenn dir der Sicherheitsaspekt der Firewall nicht ganz so wichtig ist, du also über die Clients im Prinzip volle Kontrolle hast, könntest du natürlich gucken, ob du auf demselben Netzwerksegment zwei verschiedene IP-Netze parallel fährst. Die Trennung geschieht dann nur durch die Netzmaske. Die Firewall hat dann die ungewöhnliche Aufgabe, auf eth0 das interne Netz zu sehen, und auf eth0:0 das Zwischennetz zum Router. Diese beiden Netze werden IP-mäßig getrennt (192.168.1.x für intern, 192.168.2.x für das Zwischennetz) - und für den Rest wäre dann das Studium der Firewall-Howto angeraten. Gibts beim Linux-Documentation-Project. http://www.tldp.org/.
Aber _sicher_ ist so ein Setup natürlich nicht, weil ein böser Finger eben ganz einfach seinen Client mit einer IP aus dem Zwischennetz versehen kann, und dann an der Firewall vorbei surft.
- Sven Rautenberg
Hallo Sven
Danke für die Antwort. Ich kann davon ausgehen, dass die User nicht an der Firewall vorbeisurfen. Es handelt sich lediglich um die PC's innerhalb der Familie, da kann man schon eine Abmachung treffen...
Gruss Mario