Hey,

also zu Anfang muss ich erstmal sagen das ich ein ziemlicher Linux - Neuling bin.


Also mein Ziel ist es:

DSL Router <-> Debian Server <-> Windows Rechner

Also ich will die Windows-Rechner mithilfe des Debian Server´s ein wenig mehr vor äußeren Zugriffen schützen.



Mein Idee war es:
DSL Router und eth0 des Debian Servers befinden sich im 192.168.1.0er Netz

Die Windows Rechner sollen dann über eth1 des Debian Routers aus Netz x.x.2.0 nach x.x.1.0 und damit auch ins Internet gelangen.



Wäre super wenn sich jemand bereiterklären würde, mir dies mal detaliert zu erklären (wie ich dies einrichte) oder eine andere Alternative nennen kann.

MfG Heci

http://linuxforen.de/forums/showthread.php?t=60561

http://linuxforen.de/forums/showthread.php?t=60561

Danke schonmal, aber ich will ja meinen DSL-Router nicht ersetzten. Diesen möchte ich ja schon gerne noch weiter benutzen.

MfG

Naja, der DSL Router macht ja selbst schon Masquerading, somit bräuchtest du das auf dem Server nicht nochmal. Ausser du willst zweimal Portforwarden..

Sonst tut's normales Routing, das würde auch reichen. Dazu einfach die IP-Adressen richtig einstellen und IP-Forwarding aktivieren. Auf dem Hardwarerouter müsstest du aber noch eine Netzroute auf x.x.2.0 über eth0 setzen, sonst finden die Pakete nicht zurück.

Zuerst ohne iptables probieren, danach kannst du mit den Regeln den Zugriff einschränken oder Proxy's, Sniffer, IDS usw. einsetzen.

Grüsse, Stefan

Die Frage wäre: wozu noch einen extra Server? Die meisten Router können das doch schon alles von sich aus...

Wir hängen hier auch hinter 2 Routern. Allerdings eher unfrewillig. Glaub mir du willst das nicht ;)


Es ist in jeder hinsicht doppelter Aufwand
2x Routing
2x Pflegen der Firewall
2x Pflegen der Forward/Backward Port Tabellen
2x Fehlerquellen wenn was schief geht


Im Gegenzug hat man allerdings keine doppelte Sicherheit. Kommt ein Angreifer durch den Hardware-Router. Kommt er auch durch den Debian-Router ;)

Ich an deiner stelle würde den Debian-Server als reinen Server belassen und den Hardware-Router seinen Job machen lassen.


Ansonsten wie oben beschrieben.
Hardware-Router auf DHCP auf der WAN Seite einstellen und auf der LAN Seite dann dein IP-Bereich 192.168.1.0.
Debian-Server das gleiche.. eth0 bekommt 192.168.1.2 (.1 sollte vom HW-Router belegt sein) und auf eth1 dann x.x.2.1. IP Forwarding aktivieren.

Hardware-Router bekommt alles vom Provider
Debian-Server bekommt als Std. Gateway den Hardware-Router
PC's bekommen als Std. Gateway den Debian-Server

Bei vollem Routing (inkl. NAT) seitens Debian-Server brauch auf dem Hardware-Router keine einzige extra Route gesetzt werden, damit die Pakete zurück finden, da diese immer an den Debian-Server gehen und der wiederum seine Tabelle hat.

Naja - 2 gestaffelte Firewall/Router können schon Sinn machen - wenn man z.B. zwischendrin eine DMZ einrichten will. Diesen Anwendungsfall sehe ich aber hier nicht :-)