Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Netzwerk teilen - mit Linux Router

Frage Netzwerke Router & Routing

Mitglied: sobbi

sobbi (Level 1) - Jetzt verbinden

24.09.2005, aktualisiert 25.09.2005, 8235 Aufrufe, 21 Kommentare

Hallo!

Ich stehe im Moment vor dem Problem, dass ich ein Netzwerk in 2 Teile teilen muss.
Knackpunkt: Beide Teilnetze sollen über 1 DSL Lancom Router auf das Internet zugreifen.

Es soll keinerlei Zugriff von Subnetz 1 auf Subnetz 2 erfolgen können!!! Andersrum ist egal.

Jedes Subnetz hat einen eigenen Switch, beide laufen im Lancom-Router zusammen.

Meine Vorstellung: Ein Linux-Rechner mit 2 Netzwerkkarten wird zwischen Lancom-Router und den Switch des zu schützenden Subnetzes geschaltet.
Der Linux-Rechner routet Pakete aus dem geschützten Subnetz an den Lancom-Router. Dabei werden nur die Protokolle ftp und http erlaubt. Außerdem sollte der Linux-PC sofern möglich (und die PCs dahinter sowieso) unsichtbar für das 1. Subnetz sein.

Leider habe ich keine Ahnung von Linux und nur eine fehlende, teure Windows Lizenz ist Schuld an meiner Misere. Ich wäre überglücklich, wenn Ihr mir helfen könntet.

Als Distribution soll Mandrake Linux 2005 - Limited Edition zum Einsatz kommen.

<img src='/images/articles/3e25f0312b8c42093f95eb2452dc9d33-lan2.gif' align='default' hspace='0' vspace='0' border='0'>
Mitglied: 10545
24.09.2005 um 08:03 Uhr
Moin,

Dein Ansatz/Lösungsweg ist m.E. absolut korrekt und sollte praktikabel sein.

Das GN ("geschütztes" Netz) kann vom UN ("ungeschützes" Netz) nicht genutzt werden, da der Lancom-Router einfach keinen entsprechenden Routingeintrag bekommt. Zusätzlich könnte man auf dem Linux-Router die Zugriffe Netz UN =>GN ebenfalls blocken.

>>Dabei werden nur die Protokolle ftp und http erlaubt.
Denke bitte auch an HTTPS (443), FTP-Data (20) und evtl. Mail [25, 110] sowie die notwendigen UDP´s und/oder ICMP´s.

Du schreibst aber auch: "Leider habe ich keine Ahnung von Linux..."
Wird Dir Linux vorgegeben, oder ist das Deine freie Entscheidung?

Da Dein Gedankenweg vollkommen korrekt ist, frage ich mich nun, worauf sich Dein "Hilferuf" bezieht? ==>Linux-Support?

Gruß, Rene
Bitte warten ..
Mitglied: BartSimpson
24.09.2005 um 09:39 Uhr
du must im DSL router eine 2. route eintragen.
unter Linux kannst mit route add routen anlegen.
Bitte warten ..
Mitglied: 10545
24.09.2005 um 10:04 Uhr
Hallo Bart,

du must im DSL router eine 2. route eintragen.
Warum? Habe ich was übersehen?
Sollte doch eigentlich wegfallen, wenn der Linux.Router die Anfragen aus "seinem" Netz per NAT realisiert.

Gruß, Rene
Bitte warten ..
Mitglied: sobbi
24.09.2005 um 10:11 Uhr
Vielen Dank für eure Kommentare!
Ich hätte mich besser ausdrücken sollen: Die Netze laufen im Switch des Lancom-Routers zusammen.

Linux ist fast schon Pflicht, da alles so günstig wie möglich realisiert werden muss.

Linux stellt generell kein Problem dar aber ich weis nicht, wie ich das Routing non Netz1 nach Netz2 einrichten kann und erst recht nicht, wie ich das Routing auf bestimmte Ports und Protokolle einschränken kann.
Bitte warten ..
Mitglied: BartSimpson
24.09.2005 um 10:33 Uhr
verstehe du willst den lacom Router nicht als router sondern nur noch als swich benutzte?
Dann brauchste aber in deinem linux rechner 3 Netzerkkarte eine für jedes der 2 Netzte und eine für das DSL Modem. Das generelle routen machte per route add.
Das Filtern denn über die iptables. Wo drinn steht, welches packte wohin denn darf
Bitte warten ..
Mitglied: sobbi
24.09.2005 um 10:51 Uhr
Nicht ganz.
Ich glaube oben wurde die Funktion des Lancom-Routers missverstanden.

Der Lancom geht ins Internet, Routet aber nicht zwischen den beiden Netzen. Er ist nur die Schnittmenge der beiden Netze.

Hauptsache der Linux-Router routet alle Anfragen an den Lancom weiter und das in dem Beschränkten Rahmen, wie bereits angesprochen.
Bitte warten ..
Mitglied: BartSimpson
24.09.2005 um 11:16 Uhr
verstehe. dann must du in dem lancom router noch eine 2. router für das 2. netzt mit der gateway IP des Linux rechners eintragen. Denn der Linux rechner braucht ja denn kein NAT zu machne. Alos must du nur auf dem Linux rechner iptables einrichten. und auch keine routen. Aber die konstiktion hat einen grosses sicherheitsprobelm. Dadurch das alles am gleichen switch hängt, kann man prima dein Linux Filer umgehen
Bitte warten ..
Mitglied: sobbi
24.09.2005 um 11:42 Uhr
Ich habe oben mal eine einfache Paint Grafik angehängt, die alles enthält.
Bitte warten ..
Mitglied: BartSimpson
24.09.2005 um 11:44 Uhr
nur erscheint die Grfaik leider nicht
Bitte warten ..
Mitglied: sobbi
24.09.2005 um 11:49 Uhr
Jetzt sollte Sie aber - weis nicht warum aber es hat erst nach dem umbenennen geklappt.
Bitte warten ..
Mitglied: 10545
24.09.2005 um 12:16 Uhr
Hübsch

Ich habe mal meine Gedanken dazu "gemalt":

<img src="http://www.webrd.de/netz.gif;>"

Und die statische Route im Linux nicht vergessen.

Gruß, Rene
Bitte warten ..
Mitglied: sobbi
24.09.2005 um 12:22 Uhr
Genau so ist es geplant.
Aber was muss ich tun, um Linux zu sagen:

route von NIC1 alles was http, ftp... ist an Lancom
route ausschlißlich die Antworten auf die Anfragen ans WWW zurück ins Subnetz 2
Bitte warten ..
Mitglied: BartSimpson
24.09.2005 um 12:33 Uhr
ok. 1. eine route im lancom router eintagen: 192.168.1.0 gw: 192.16.0.2. dein Linux router DARF kein nat machen1!!
dann folgen iptables regleauf dem Linux rechner:
iptables -A INPUT -f -j DROP
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A INPUT -i eth0 -j ACCEPT
iptables -P INPUT ACCEPT

http/https/pop3/SMTP
iptables -A FORWARD -p tcp -m multiport --destination-ports http,https -j ACCEPT
iptables -A FORWARD -p udp -m multiport --destination-ports http,https -j ACCEPT
iptables -A FORWARD -p tcp -m multiport --source-ports http,https -j ACCEPT
iptables -A FORWARD -p udp -m multiport --source-ports http,https -j ACCEPT
iptables -A FORWARD -p tcp -m multiport --destination-ports pop3,smtp -j ACCEPT
iptables -A FORWARD -p udp -m multiport --destination-ports pop3,smtp -j ACCEPT
iptables -A FORWARD -p tcp -m multiport --source-ports pop3,smtp -j ACCEPT
iptables -A FORWARD -p udp -m multiport --source-ports http,smtp -j ACCEPT

//Alles andere loggen udn wegwerfen
iptables -A FORWARD -j LOG -m limit --limit 100/minute --log-prefix "verdächtig Routing "
iptables -A FORWARD -j DROP
Bitte warten ..
Mitglied: sobbi
24.09.2005 um 12:43 Uhr
Wenn ich den Linux-Rechner mit 2 NICs ausstatte, brauche ich doch keine Routingregel im Lancom - oder habe ich da was übersehen?
Ich dachte außerdem, dass ein solcher Router nur zwischen LAN und WAN routet und nicht zwischen LAN & LAN?
Bitte warten ..
Mitglied: BartSimpson
24.09.2005 um 13:17 Uhr
Bei dem was du dort gezeichnes hast, gibt es 3 netzte. Internet,Netz1 und Netz2.
Der Laccomrouter kennt nur Netz1 und das Internet Netz2 kennt nur dein Linuxrechner.
Also muss der Lancomrouter wissen, was er mit oakte für Netz2 machen soll. Nähmlich an den passen Reouter weitereiten.
Bitte warten ..
Mitglied: sobbi
24.09.2005 um 13:30 Uhr
Aso!

Ich hatte im Kopf, dass die Pakete aus Netz 2 die IP des Linux-Rechners als Absender erhalten würden.

Danke für deine Hilfe!
Bitte warten ..
Mitglied: BartSimpson
24.09.2005 um 13:39 Uhr
Nein die enthalten ihre echte Adresse Es sei denn wu willst noch extra NAT/PAT machen, aber das würde die ganze Sache nur noch vile komplexer machen.
Bitte warten ..
Mitglied: sobbi
24.09.2005 um 14:04 Uhr
Eigentlich sollten dann ja die Rechner in SN2 sicher sein, vor Übergriffen aus SN1 - oder übersehe ich hier etwas?

Normalerweise würde ich ja NAT bevorzugen aber ich lebe eher auf dem Gebiet der Windows-Server.
Bitte warten ..
Mitglied: BartSimpson
24.09.2005 um 15:16 Uhr
Das wird man so nicht ereichen könnne. Da im gleichen subnet auch der router liegt der ins inet geht. Da man ja auch eine IP Adresse fälschen kann. Wenn du hast willst, darf der Inet Router in keinem Netzt liegen wo auch Rechner liegen, an denen gearbeite wird.!!!
Bitte warten ..
Mitglied: sobbi
25.09.2005 um 01:47 Uhr
Das 1. Subnetz ist leider zu komplex um grade mal die IP des Routers zu ändern.
Aber was soll denn eine IP-Fälschung bringen? Auf NIC 1 bringt einem eine Subnetz2-IP doch nichts?!

Ich werde wohl, so wie es jetzt aussieht, den Rechner mit einer alten Win98 CD installieren und um alles Montag Abend fertig zu haben und die Internetverbindungsfreigabe verwenden. Dann habe ich NAT und im Zusammenspiel mit einer Firewall einen sicheren Internetzugang für Subnetz 2.
Bitte warten ..
Mitglied: BartSimpson
25.09.2005 um 09:43 Uhr
da würste nicht herrum kommen. Denn die Bedeutung von Linux in den Firem wächst immer mehr.
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (22)

Frage von M.Marz zum Thema Windows Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...