21
Netzwerk teilen - mit Linux Router
Hallo!
Ich stehe im Moment vor dem Problem, dass ich ein Netzwerk in 2 Teile teilen muss.
Knackpunkt: Beide Teilnetze sollen über 1 DSL Lancom Router auf das Internet zugreifen.
Es soll keinerlei Zugriff von Subnetz 1 auf Subnetz 2 erfolgen können!!! Andersrum ist egal.
Jedes Subnetz hat einen eigenen Switch, beide laufen im Lancom-Router zusammen.
Meine Vorstellung: Ein Linux-Rechner mit 2 Netzwerkkarten wird zwischen Lancom-Router und den Switch des zu schützenden Subnetzes geschaltet.
Der Linux-Rechner routet Pakete aus dem geschützten Subnetz an den Lancom-Router. Dabei werden nur die Protokolle ftp und http erlaubt. Außerdem sollte der Linux-PC sofern möglich (und die PCs dahinter sowieso) unsichtbar für das 1. Subnetz sein.
Leider habe ich keine Ahnung von Linux und nur eine fehlende, teure Windows Lizenz ist Schuld an meiner Misere. Ich wäre überglücklich, wenn Ihr mir helfen könntet.
Als Distribution soll Mandrake Linux 2005 - Limited Edition zum Einsatz kommen.
Ich stehe im Moment vor dem Problem, dass ich ein Netzwerk in 2 Teile teilen muss.
Knackpunkt: Beide Teilnetze sollen über 1 DSL Lancom Router auf das Internet zugreifen.
Es soll keinerlei Zugriff von Subnetz 1 auf Subnetz 2 erfolgen können!!! Andersrum ist egal.
Jedes Subnetz hat einen eigenen Switch, beide laufen im Lancom-Router zusammen.
Meine Vorstellung: Ein Linux-Rechner mit 2 Netzwerkkarten wird zwischen Lancom-Router und den Switch des zu schützenden Subnetzes geschaltet.
Der Linux-Rechner routet Pakete aus dem geschützten Subnetz an den Lancom-Router. Dabei werden nur die Protokolle ftp und http erlaubt. Außerdem sollte der Linux-PC sofern möglich (und die PCs dahinter sowieso) unsichtbar für das 1. Subnetz sein.
Leider habe ich keine Ahnung von Linux und nur eine fehlende, teure Windows Lizenz ist Schuld an meiner Misere. Ich wäre überglücklich, wenn Ihr mir helfen könntet.
Als Distribution soll Mandrake Linux 2005 - Limited Edition zum Einsatz kommen.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 16624
Url: https://administrator.de/contentid/16624
Printed on: April 26, 2024 at 21:04 o'clock
21 Comments
Latest comment
Moin,
Dein Ansatz/Lösungsweg ist m.E. absolut korrekt und sollte praktikabel sein.
Das GN ("geschütztes" Netz) kann vom UN ("ungeschützes" Netz) nicht genutzt werden, da der Lancom-Router einfach keinen entsprechenden Routingeintrag bekommt. Zusätzlich könnte man auf dem Linux-Router die Zugriffe Netz UN =>GN ebenfalls blocken.
Du schreibst aber auch: "Leider habe ich keine Ahnung von Linux..."
Wird Dir Linux vorgegeben, oder ist das Deine freie Entscheidung?
Da Dein Gedankenweg vollkommen korrekt ist, frage ich mich nun, worauf sich Dein "Hilferuf" bezieht?
==>Linux-Support?
Gruß, Rene
Dein Ansatz/Lösungsweg ist m.E. absolut korrekt und sollte praktikabel sein.
Das GN ("geschütztes" Netz) kann vom UN ("ungeschützes" Netz) nicht genutzt werden, da der Lancom-Router einfach keinen entsprechenden Routingeintrag bekommt. Zusätzlich könnte man auf dem Linux-Router die Zugriffe Netz UN =>GN ebenfalls blocken.
Dabei werden nur die Protokolle ftp und http erlaubt.
Denke bitte auch an HTTPS (443), FTP-Data (20) und evtl. Mail [25, 110] sowie die notwendigen UDP´s und/oder ICMP´s.Du schreibst aber auch: "Leider habe ich keine Ahnung von Linux..."
Wird Dir Linux vorgegeben, oder ist das Deine freie Entscheidung?
Da Dein Gedankenweg vollkommen korrekt ist, frage ich mich nun, worauf sich Dein "Hilferuf" bezieht?
==>Linux-Support?Gruß, Rene
du must im DSL router eine 2. route eintragen.
unter Linux kannst mit route add routen anlegen.
unter Linux kannst mit route add routen anlegen.
Hallo Bart,
Sollte doch eigentlich wegfallen, wenn der Linux.Router die Anfragen aus "seinem" Netz per NAT realisiert.
Gruß, Rene
du must im DSL router eine 2. route eintragen.
Warum? Habe ich was übersehen?Sollte doch eigentlich wegfallen, wenn der Linux.Router die Anfragen aus "seinem" Netz per NAT realisiert.
Gruß, Rene
Vielen Dank für eure Kommentare!
Ich hätte mich besser ausdrücken sollen: Die Netze laufen im Switch des Lancom-Routers zusammen.
Linux ist fast schon Pflicht, da alles so günstig wie möglich realisiert werden muss.
Linux stellt generell kein Problem dar aber ich weis nicht, wie ich das Routing non Netz1 nach Netz2 einrichten kann und erst recht nicht, wie ich das Routing auf bestimmte Ports und Protokolle einschränken kann.
Ich hätte mich besser ausdrücken sollen: Die Netze laufen im Switch des Lancom-Routers zusammen.
Linux ist fast schon Pflicht, da alles so günstig wie möglich realisiert werden muss.
Linux stellt generell kein Problem dar aber ich weis nicht, wie ich das Routing non Netz1 nach Netz2 einrichten kann und erst recht nicht, wie ich das Routing auf bestimmte Ports und Protokolle einschränken kann.
verstehe du willst den lacom Router nicht als router sondern nur noch als swich benutzte?
Dann brauchste aber in deinem linux rechner 3 Netzerkkarte eine für jedes der 2 Netzte und eine für das DSL Modem. Das generelle routen machte per route add.
Das Filtern denn über die iptables. Wo drinn steht, welches packte wohin denn darf
Dann brauchste aber in deinem linux rechner 3 Netzerkkarte eine für jedes der 2 Netzte und eine für das DSL Modem. Das generelle routen machte per route add.
Das Filtern denn über die iptables. Wo drinn steht, welches packte wohin denn darf
Nicht ganz.
Ich glaube oben wurde die Funktion des Lancom-Routers missverstanden.
Der Lancom geht ins Internet, Routet aber nicht zwischen den beiden Netzen. Er ist nur die Schnittmenge der beiden Netze.
Hauptsache der Linux-Router routet alle Anfragen an den Lancom weiter und das in dem Beschränkten Rahmen, wie bereits angesprochen.
Ich glaube oben wurde die Funktion des Lancom-Routers missverstanden.
Der Lancom geht ins Internet, Routet aber nicht zwischen den beiden Netzen. Er ist nur die Schnittmenge der beiden Netze.
Hauptsache der Linux-Router routet alle Anfragen an den Lancom weiter und das in dem Beschränkten Rahmen, wie bereits angesprochen.
verstehe. dann must du in dem lancom router noch eine 2. router für das 2. netzt mit der gateway IP des Linux rechners eintragen. Denn der Linux rechner braucht ja denn kein NAT zu machne. Alos must du nur auf dem Linux rechner iptables einrichten. und auch keine routen. Aber die konstiktion hat einen grosses sicherheitsprobelm. Dadurch das alles am gleichen switch hängt, kann man prima dein Linux Filer umgehen
Ich habe oben mal eine einfache Paint Grafik angehängt, die alles enthält.
nur erscheint die Grfaik leider nicht
Jetzt sollte Sie aber - weis nicht warum aber es hat erst nach dem umbenennen geklappt.
Hübsch
Und die statische Route im Linux nicht vergessen.
Gruß, Rene
Und die statische Route im Linux nicht vergessen.
Gruß, Rene
Genau so ist es geplant.
Aber was muss ich tun, um Linux zu sagen:
route von NIC1 alles was http, ftp... ist an Lancom
route ausschlißlich die Antworten auf die Anfragen ans WWW zurück ins Subnetz 2
Aber was muss ich tun, um Linux zu sagen:
route von NIC1 alles was http, ftp... ist an Lancom
route ausschlißlich die Antworten auf die Anfragen ans WWW zurück ins Subnetz 2
ok. 1. eine route im lancom router eintagen: 192.168.1.0 gw: 192.16.0.2. dein Linux router DARF kein nat machen1!!
dann folgen iptables regleauf dem Linux Rechner:
dann folgen iptables regleauf dem Linux Rechner:
iptables -A INPUT -f -j DROP
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A INPUT -i eth0 -j ACCEPT
iptables -P INPUT ACCEPT
http/https/pop3/SMTP
iptables -A FORWARD -p tcp -m multiport --destination-ports http,https -j ACCEPT
iptables -A FORWARD -p udp -m multiport --destination-ports http,https -j ACCEPT
iptables -A FORWARD -p tcp -m multiport --source-ports http,https -j ACCEPT
iptables -A FORWARD -p udp -m multiport --source-ports http,https -j ACCEPT
iptables -A FORWARD -p tcp -m multiport --destination-ports pop3,smtp -j ACCEPT
iptables -A FORWARD -p udp -m multiport --destination-ports pop3,smtp -j ACCEPT
iptables -A FORWARD -p tcp -m multiport --source-ports pop3,smtp -j ACCEPT
iptables -A FORWARD -p udp -m multiport --source-ports http,smtp -j ACCEPT
//Alles andere loggen udn wegwerfen
iptables -A FORWARD -j LOG -m limit --limit 100/minute --log-prefix "verdächtig Routing "
iptables -A FORWARD -j DROP
Wenn ich den Linux-Rechner mit 2 NICs ausstatte, brauche ich doch keine Routingregel im Lancom - oder habe ich da was übersehen?
Ich dachte außerdem, dass ein solcher Router nur zwischen LAN und WAN routet und nicht zwischen LAN & LAN?
Ich dachte außerdem, dass ein solcher Router nur zwischen LAN und WAN routet und nicht zwischen LAN & LAN?
Bei dem was du dort gezeichnes hast, gibt es 3 netzte. Internet,Netz1 und Netz2.
Der Laccomrouter kennt nur Netz1 und das Internet Netz2 kennt nur dein Linuxrechner.
Also muss der Lancomrouter wissen, was er mit oakte für Netz2 machen soll. Nähmlich an den passen Reouter weitereiten.
Der Laccomrouter kennt nur Netz1 und das Internet Netz2 kennt nur dein Linuxrechner.
Also muss der Lancomrouter wissen, was er mit oakte für Netz2 machen soll. Nähmlich an den passen Reouter weitereiten.
Aso!
Ich hatte im Kopf, dass die Pakete aus Netz 2 die IP des Linux-Rechners als Absender erhalten würden.
Danke für deine Hilfe!
Ich hatte im Kopf, dass die Pakete aus Netz 2 die IP des Linux-Rechners als Absender erhalten würden.
Danke für deine Hilfe!
Nein die enthalten ihre echte Adresse Es sei denn wu willst noch extra NAT/PAT machen, aber das würde die ganze Sache nur noch vile komplexer machen.
Es sei denn wu willst noch extra NAT/PAT machen, aber das würde die ganze Sache nur noch vile komplexer machen.
Eigentlich sollten dann ja die Rechner in SN2 sicher sein, vor Übergriffen aus SN1 - oder übersehe ich hier etwas?
Normalerweise würde ich ja NAT bevorzugen aber ich lebe eher auf dem Gebiet der Windows-Server.
Normalerweise würde ich ja NAT bevorzugen aber ich lebe eher auf dem Gebiet der Windows-Server.
Das wird man so nicht ereichen könnne. Da im gleichen subnet auch der router liegt der ins inet geht. Da man ja auch eine IP Adresse fälschen kann. Wenn du hast willst, darf der Inet Router in keinem Netzt liegen wo auch Rechner liegen, an denen gearbeite wird.!!!
Das 1. Subnetz ist leider zu komplex um grade mal die IP des Routers zu ändern.
Aber was soll denn eine IP-Fälschung bringen? Auf NIC 1 bringt einem eine Subnetz2-IP doch nichts?!
Ich werde wohl, so wie es jetzt aussieht, den Rechner mit einer alten Win98 CD installieren und um alles Montag Abend fertig zu haben und die Internetverbindungsfreigabe verwenden. Dann habe ich NAT und im Zusammenspiel mit einer Firewall einen sicheren Internetzugang für Subnetz 2.
Aber was soll denn eine IP-Fälschung bringen? Auf NIC 1 bringt einem eine Subnetz2-IP doch nichts?!
Ich werde wohl, so wie es jetzt aussieht, den Rechner mit einer alten Win98 CD installieren und um alles Montag Abend fertig zu haben und die Internetverbindungsfreigabe verwenden. Dann habe ich NAT und im Zusammenspiel mit einer Firewall einen sicheren Internetzugang für Subnetz 2.
da würste nicht herrum kommen. Denn die Bedeutung von Linux in den Firem wächst immer mehr.