großes Routing problem + Internet

[BlackShadow]

Hallöchen,

hab da n kleines Problemchen.
Ich habe ein Netzwerk das ich in 2 netze teilen will, aber auch beide noch ins internet kommen. Installiert habe ich Redhat 9 und habe nur Console oder Webmin zur verfügung.

Der Grund warum ich das mache ist deswegen wenn bei uns Kunden sind die ihre PCs an unser Netzwerk anschließen und dir Datensicherung auf anderen PC machen oder div Updates via DSL ziehen ist es nun des öffteren dazu gekommen das diese Kunden Viren eingeschläust haben deswegen wollt ich nun ein Firmen Netz und ein Kunden Netz erstellen.


Der Linux PC hängt über eth0 ( 192.168.3.10 ) direkt am ELSA Router ( 192.168.3.1 )

Netz1 : 192.168.1.0 -- 255.255.255.0 ( eth1 192.168.1.10 )

Netz2 : 192.168.2.0 -- 255.255.255.0 ( eth2 192.168.2.10 )


ich kann von Netz1 auf den ELSA Router "pingen" das geht ohne weiteres
nur komm ich nicht drüber hinaus also ins Internet .
Es muss aber trozdem gewärleistet werden das Netz1 und Netz2 weder untereinander Pingen noch sonnst was machen dürfen?

was muss ich nun also ändern ?hoffe ich konnte das einigermaßen erklären was ich wollte und danke schon mal im vorraus ...

gruß Frank

[klemens]

1. Internet
Kommt drauf an, was der ELSA-Router kann. Der müsste die beiden Netze per NAT ins Internet verbinden und die Routen zu den beiden Netzen über den Redhat-Rechner eingetragen haben. Wenn nicht, sollte es gehen, dass der Redhat-Rechner mit einem Masquerading über eth0 das Internet ermöglicht. Am Redhatrechner ip-forwarding aktivieren.

2. Die Netze gegenseitig abschotten.
Per iptables einfach zumachen:
iptables -A FORWARD -s 192.168.1.0/24 -d 192.168.2.0/24 -j REJECT
und umgekehrt.
Die Netze dürfen physikalisch nur über den Redhatrechner verbunden sein.

Auf den Rechnern gehört der default-gateway die jeweilige Redhat-IP eingetragen. DNS auf den Router oder auf den Provider.

[BlackShadow]

Hi,

danke für die schnelle hilfe allersdings bin ich was routing betrifft ned gerade die super leuchte

hier mal das was im Router steht hoffe das es einigermasen durschaubar ist.
IP-Adresse IP-Netz-Maske Router-Name Distanz Maskierung
192.168.1.0 255.255.255.0 0.0.0.0 0 Ein
192.168.2.0 255.255.255.0 0.0.0.0 0 Ein
192.168.3.0 255.255.255.0 0.0.0.0 0 Aus
172.16.0.0 255.240.0.0 0.0.0.0 0 Aus
10.0.0.0 255.0.0.0 0.0.0.0 0 Aus
224.0.0.0 224.0.0.0 0.0.0.0 0 Aus
255.255.255.255 0.0.0.0 T-ONLINE 2 Ein

############
hier die route die bei RedHat eingetragen sind.

Ziel Router Genmask Flags Metric Ref Use Iface
192.168.3.0 * 255.255.255.0 U 0 0 0 eth0
192.168.2.0 * 255.255.255.0 U 0 0 0 eth2
192.168.1.0 * 255.255.255.0 U 0 0 0 eth1
169.254.0.0 * 255.255.0.0 U 0 0 0 eth2
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default DUFI-ONLINE.duf 0.0.0.0 UG 0 0 0 eth0

PS: das mit dem IP_FORWARDING Aktivieren?

ist das das unter Webmin " Als Router arbeiten" ?

Gruß Frank

[BlackShadow]

Hi,

ich glaube ich habe den fehler gefunden

IP-Adresse IP-Netz-Maske Router-Name Distanz Maskierung
192.168.1.0 255.255.255.0 0.0.0.0 0 Ein
192.168.2.0 255.255.255.0 0.0.0.0 0 Ein
192.168.3.0 255.255.255.0 0.0.0.0 0 Aus
172.16.0.0 255.240.0.0 0.0.0.0 0 Aus
10.0.0.0 255.0.0.0 0.0.0.0 0 Aus
224.0.0.0 224.0.0.0 0.0.0.0 0 Aus
255.255.255.255 0.0.0.0 T-ONLINE 2 Ein

muss bei 192.168.1.0 255.255.255.0 192.168.3.10 eingetragen werden anstadt 0.0.0.0

weil ich kann auf einmal pingen und webseiten öffnen

[BlackShadow]

Hi

äm

ich hab nun wie du es gesagt hast

iptables -A FORWARD -s 192.168.1.0/24 -d 192.168.2.0/24 -j REJECT
eingegeben und umgekehrt also
iptables -A FORWARD -s 192.168.2.0/24 -d 192.168.1.0/24 -j REJECT

das geht ja auch nur ich hab den nun gerade neugestartet und schwupp komm ich von 192.168.2.0 auf das 192.168.1.0 netz ?
nachdem ich das obrige wieder eingetragen habe nicht mehr .?
warum ist das immer nach einem Neustart wieder draussen?


gruß und danke Frank

[klemens]

Original geschrieben von BlackShadow
Hi

äm

ich hab nun wie du es gesagt hast

iptables -A FORWARD -s 192.168.1.0/24 -d 192.168.2.0/24 -j REJECT
eingegeben und umgekehrt also
iptables -A FORWARD -s 192.168.2.0/24 -d 192.168.1.0/24 -j REJECT

das geht ja auch nur ich hab den nun gerade neugestartet und schwupp komm ich von 192.168.2.0 auf das 192.168.1.0 netz ?
nachdem ich das obrige wieder eingetragen habe nicht mehr .?
warum ist das immer nach einem Neustart wieder draussen?


gruß und danke Frank

Die Befehle mit iptables werden ins laufende System gespeichert aber nicht beim booten neu geladen.
Schreib die Befehle in ein Skript und lass das Skript beim Hochfahren ausführen.

Ist nicht so schwer:

1.
Schreib die Befehle in eine Datei z.b mit Namen netz.sh und leg diese Datei an einen sinnvollen Ort ab - bei mir würde das ev. in /root/skripte/netz.sh landen:

#!/sbin/sh
/sbin/iptables -A FORWARD -s 192.168.1.0/24 -d 192.168.2.0/24 -j REJECT
/sbin/iptables -A FORWARD -s 192.168.2.0/24 -d 192.168.1.0/24 -j REJECT

2.
Mach die Datei ausführbar:

chmod 700 /root/skripte/netz.sh

3.
Setz einen Link in den entsprechenden Runlevel (musst schauen, wie das bei Redhat liegt - ich geh jetzt von einem Debian-System mit default-runlevel 3 aus).

ln -s /root/skripte/netz.sh /etc/rc3.d/S99netz

(ev. liegen die runlevel-skripts in /etc/init.d)

[BlackShadow]

Hallo,

router läuft super und macht all das was er machen soll.

nun meine Frage, wie muss ich das machen wenn ich nun noch eine Netzwerkkarte rein soll und auch getrennt ist von den ganzen Netzen?

router netz 192.168.3.0

Firmen netz 192.168.1.0
Kunden netz 192.168.2.0

TestNetz 192.168.10.0 ( ? )


hoffe mir kann da wer helfen ?

gruß und danke Frank

[klemens]

Hallo,

router läuft super und macht all das was er machen soll.

nun meine Frage, wie muss ich das machen wenn ich nun noch eine Netzwerkkarte rein soll und auch getrennt ist von den ganzen Netzen?

router netz 192.168.3.0

Firmen netz 192.168.1.0
Kunden netz 192.168.2.0

TestNetz 192.168.10.0 ( ? )


hoffe mir kann da wer helfen ?

gruß und danke Frank

Funktioniert genauso wie oben beschrieben.

Der Router muss die Retourroute ins TestNetz kennen, und iptables muss die Netze gegeneinander abschotten.

Ev. kann man was vereinfachen, indem man für die Routen die Netzmaske 255.255.0.0 (16) verwendet. Für Router und iptables, nicht für die Clientrechner!