Moin!
Ich habe in einem Windows Netzwerk einen älteren Laptop mit Fedora Linux. Als ADSL-Router habe ich den Netopia Cayman 3341. Dieser unterstützt zwar NAT, doch soviel ich weiss kann ich keine zusätzlichen benutzerdefinierten Regeln definieren...
Ok, dein Setup ist also:
ADSL --- NATRouter --+------------------------ Clients
|
Firewall
Wie du sicherlich zugeben wirst, ist die Firewall nicht wirklich eine Firewall, sondern eher ein mickriges, unscheinbares Häufchen am Rande der Strecke.
Deshalb ja auch meine Fragen, die genau offenbarten, was ich vermutete.
Dein Setup kannst du getrost in die Tonne treten. Das bringt so überhaupt nichts.
Du kannst entweder (ich deutete es an) den NATRouter als Firewall nehmen - das geht nicht, sagst du. Pech für den Router, kommt er eben auf den Müll.
Alternativ kannst du _anstatt_ des Routers deinen Linux-Selbstbau hinpflanzen. Das wird mutmaßlich nur daran scheitern, dass dein Laptop nur eine einzige Netzwerkschnittstelle hat, aber zwingend mindestens zwei Stück braucht, damit an der einen dein internes Netzwerk angeschlossen werden kann, und an der anderen das DSL.
Alle Windows-Rechner sollen darum über die Linux-Maschine auf den ADSL-Router umgeleitet werden. Auf der Linux-Maschine möchte ich dann bestimmte Richtlinien definieren. Evtl. möchte ich aber auch dort festlegen, welcher Rechner wieviel Bandbreite kriegt und auf welche Seiten er zugreifen darf...
Dein Netzwerk-Layout ist deswegen blödsinnig, weil du es hardwaremäßig ja nicht garantieren kannst, dass die Clients immer brav bei der Firewall anklopfen, wenn sie Bandbreite wollen. Sie können genausogut ja einfach direkt zum Router senden und empfangen.
Eben deshalb ist es blödsinnig, einen NAT-Router und "daneben" eine Firewall zu haben. Die Firewall muß, wenn überhaupt, netzwerktechnisch _dazwischen_, damit sie das Netz zwischen Firewall und Router vom Netz dahinter (mit den Clients dran) trennt.
Und insbesondere muß die Firewall zwingend ein Router sein - auch wenn die Firewall natürlich Pakete filtert. Aber wissen, wohin sie gehen sollen, ist natürlich auch wichtig.
Wenn dir der Sicherheitsaspekt der Firewall nicht ganz so wichtig ist, du also über die Clients im Prinzip volle Kontrolle hast, könntest du natürlich gucken, ob du auf demselben Netzwerksegment zwei verschiedene IP-Netze parallel fährst. Die Trennung geschieht dann nur durch die Netzmaske. Die Firewall hat dann die ungewöhnliche Aufgabe, auf eth0 das interne Netz zu sehen, und auf eth0:0 das Zwischennetz zum Router. Diese beiden Netze werden IP-mäßig getrennt (192.168.1.x für intern, 192.168.2.x für das Zwischennetz) - und für den Rest wäre dann das Studium der Firewall-Howto angeraten. Gibts beim Linux-Documentation-Project. http://www.tldp.org/.
Aber _sicher_ ist so ein Setup natürlich nicht, weil ein böser Finger eben ganz einfach seinen Client mit einer IP aus dem Zwischennetz versehen kann, und dann an der Firewall vorbei surft.
- Sven Rautenberg
"Habe den Mut, dich deines eigenen Verstandes zu bedienen!" (Immanuel Kant)