PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Router/Firewall


little_tux
27.01.02, 11:59
Hi, ich wollte mal fragen ob mir vielleicht jemand etwas mit iptables
weiterhelfen könnte, da ich damit noch nicht so ganz klarkomme.
Ich möchte mein Netzwerk etwas umstrukturieren, da ich mir gerne eine
DMZ einrichten würde. Leider tue ich mich aber mit den "Linux-Router"
schwer.
Ich weiss zwar, dass ich alles forwarden muss, glaube aber, dass ich
noch nat oder so brauch oder? da ich nicht ins Internet komme und auch
keine Rechner in der DMZ anpingen kann.Ich hab mal meine
Netzstruktur aufgezeichnet.
Es geht mir halt darum, dass der Linux-Router dass lokale Netz mit der
DMZ verbindet und halt auch die Rechner vom "lokalen Netz" ins Internet kommen.
Später soll der Router dann halt noch als Firewall agieren, dass nicht alles durchkommt *g*. Erstmal muss ich aber überhaupt rauskommen....:-(


INTERNET
____|____
| |
|Gateway|
|_______|
| 10.0.0.1
|
|
|
|
|----------|DMZ|
| 10.0.0.0/24
|
|
|
------------
Linux-Router
------------
|
|
|
|---------|lokales Netz|
| 172.16.0.0/16
|
pudding
27.01.02, 12:45
um mit den internen IPs in internet zu kommen musst du auf jeden fall ein -nat auf die externe schnittstelle machen.

kann dann in der art aussehen:
iptables -t nat -A POSTROUTING -o <interface z.B. ippp0> -j MASQUERADE

wenn aber schon deine interne pings nicht funktionieren würd ich erstmal hier die fehler suchen

gruss

noch was, routet die linux-kiste überhaupt? vrgl /etc/rc.config

IP_FORWARD="yes" ????

HTH
geronet
27.01.02, 12:50
Beim Linux-Router brauchst du kein Masquerading, sondern nur einfache Routeneinträge und noch das ip_forward flag in /proc setzen:
(Vorher sollten aber die beiden Netzwerkkarten eth0 und eth1 konfiguriert sein, mit "ifconfig" solltest du beide sehen)

echo "1" > /proc/sys/net/ipv4/ip_forward
(ich weiss nich ob das beim Kernel 2.4 genauso ist, sollte aber so sein)

# route für dmz
route add -net 10.0.0.0 netmask 255.255.255.0 dev eth0
# route für internes netz
route add -net 172.16.0.0 netmask 255.255.0.0 dev eth1

Jeweils eth1/eth0 ersetzen für das richtige Interface, aber bist du sicher dass die 24-bit Netzmaske für 10.0.0.0 richtig ist?

Grüsse, Stefan
pudding
27.01.02, 13:04
"Beim Linux-Router brauchst du kein Masquerading, sondern nur einfache Routeneinträge und noch das ip_forward flag in /proc setzen"

das reicht fürs interne routing schon aus, allerdings werden die privaten IP adressen im internet nicht geroutet deshalb das masquerading...


Jeweils eth1/eth0 ersetzen für das richtige Interface, aber bist du sicher dass die 24-bit Netzmaske für 10.0.0.0 richtig ist?

ist eigentlich egal.
vielleicht etwas ungewöhnlich

gruss
geronet
27.01.02, 13:36
das reicht fürs interne routing schon aus, allerdings werden die privaten IP adressen im internet nicht geroutet deshalb das masquerading...

Da bist du nicht ganz falsch aber als Gateway sollte der 10.0.0.1 eingetragen werden, der dann auch das Masquerading vollzieht.

Grüsse, Stefan
pudding
27.01.02, 16:05
:)
ok....

lag wohl daran dass ich den netzplan nur kurz überflogen hab.....

sorry