Hallo, ----- Original Message ----- From: Jan Sent: Wednesday, January 30, 2002 4:11 PM
irgentwer hatte mal auf der Liste geschrieben, das er einen Server hat, der eine art Distri oder soetwas auf dem samba, firewall, routing, apache usw läuft...
ja, gibt's. Michael Nausch (michael@nausch.org) hat sowas (stand in der Mailingliste vom November). Schau mal auf seiner Homepage http://omni128.de. Hier nochmal das Posting vom Oktober:
In meinem privaten Netz benutze ich Linux als Server und als Router. Nach dem Update auf SuSE 7.3 und Kernelversion 2.4 (ich benutzte bisher Kernel 2.2) steht mir mein geliebtes ipchains nicht mehr zur Verfügung. Hat eventuell mal jemand einen Tip...oder eine Quelle wo ich rausfinden kann, wie man ein Masquerading mit Kernel 2.4 einrichtet eventuell auch mit Firewall???
Also, ich stand vor einem ähnlichen Problem, daß ich für mich zufriedenstellend gelöst habe: Konfiguration in meinem SOHO: | | | <----- Verbindung zum Internet | über DSL-Modem zu | t-longline | +-----+-----+ | eth0 | | | +-----+ | eth1 +--------------+ Hub | | | +-+-+-+ | "Server" | | | +-----------+ | | | | +-----------+ | | | | | | | | | | | eth0 +----------------+ | | | | | "clientA" | | +-----------+ | | +-----------+ | | | | | | | | eth0 +------------------+ | | | "clientB" | +-----------+ Der "Server" bietet folgende Dienste: - SAMBA-Fileserver - Druckerserver - Router mit firewall mit DSL-Anschluss - voll funktionierende Workstation, d.h. ° Mailclient ° http, ftp ° Staroffice ° DTP (Sannen, gPhoto, Drucken ...) Die Regelkette also mit Source-NAT (Masquerading), sieht wie folgt aus: + / \ / \ / \ +---------+ / \ | | +---------+ incoming / \ | FORWARD | | POST- | outgoing ---------->+ routing? +--->+ REGEL- +--+--+ REGEL +----------> \ / | | ^ | S-NAT | \ / +---------+ | +---------+ \ / | \ / | \ / | + | | | | | V | +-------+-------+ +--------+-------+ | | | | | INPUT - REGEL | | OUTPUT - REGEL | | | | | +-------+-------+ +--------+-------+ | ^ | | V | LOKAL LOKAL Zusammengefasst nun also im Detail: Da auf dem "Server" auch noch nebenbei gearbeitet werden können muss, müssen die bekannten Regeln beibehalten werden: INPUT-Regel : Es kommt ein Paket von ppp0 und das Paket wird an den "lokalen Rechner" weitergegeben. FORWARD-REGEL: Es kommt ein Paket und wird an die FORWARD-REGEL weitergereicht, da das Routing im Firewall-script eingeschaltet wurde. ( echo "1" > /proc/sys/net/ipv4/ip_forward ) OUTPUT-REGEL : Der Rechner verschickt selbst Pakete, die konform mit dieser Regel sein muss. POST-REGEL : Im Firewall-Script wird "Masquerading" mittels ( $IPTABLES -t nat -A POSTROUTING -o $EXT -j MASQUERADE ) eingeschaltet; somit werden Pakete, die den Router via ppp0 verlassen maskiert, Die rückwärtige Richtung wird über das Kernel-Modul ip-conntrack automatisch Adressmäßig wieder umgeschrieben, so daß das Paket zum "verursachenden" Host zurückgeschickt wird. Zusätzliche muss für den SAMBA- und Printserver-Betrieb sichergestellt werden, daß die betreffenden Ports vom lokalen Netzwerk in Richtung Router/Server offen sind, aber von Richtung Internet aus, diese Port nicht erreichbar sind. So und dann sollte es auch mit den gewünschten Diensten am "Server/Router" klappen _U_N_D_ die clients im lokalen Netzwerk können auch surfen, mailen, speichern und drucken. Einen passenden Mustzerscript hab' ich auch dazu hier, bei Interesse einfach melden!
Vielen Dank für die Mühe die ich Euch gemacht habe ;-)))
koabroblem ... cul8r, BC -- Michael Nausch Anzinger Str. 20 85586 Poing +49-8121-989810 (voice) +49-8121-971941 (fax) http://omni128.de michael@nausch.org Gruß Michael