Masquerading, Proxy, Firewall - Mir raucht der Kopf
Hallo Liste Seit ein paar Tagen versuche ich herauszufinden, wie ich mein LAN (bestehend aus nur 2 Rechnern) mit einem einzigen Modem ans Internet bringen kann. Ich habe mich durch diverse HOWTOs und Anleitungen sowie das Mailinglistenarchiv gekämpft. Leider habe ich jetzt das Gefühl, dass ich nun weniger weiss als vorher. Ich denke, dass mein Vorhaben mit verschiedenen Mitteln realisierbar währe. Mir schwirren da jetzt Begriffe wie routing, masquerading, IP-forwarding, Proxies (SQUID) und firewals im Kopf herum. Ich kann aber nicht einordnen, welche Technik ich für welche Aufgaben verwenden soll. Eigentlich sollte es mal eine ganz einfache "Anfängerlösung" werden. Um Sicherheit und so, will ich mich später mal kümmern, im Moment fehlt mir da einfach die Zeit (ja ich weiss: Linux = lesen,lesen und nochmals lesen :=) ) Hier noch mal Kurz die "Aufgabenstellung": Internet --(PPP)--Rechner 1--(LAN)--Rechner 2 - Zugang von Rechner 1 und 2 ans Internet - Im Moment keine Sicherheitsanforderungen Danke schon mal für eure Hilfe Adrian --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
On Mon, 03 Apr 2000, Adrian Heydecker wrote:
Internet --(PPP)--Rechner 1--(LAN)--Rechner 2
- Zugang von Rechner 1 und 2 ans Internet - Im Moment keine Sicherheitsanforderungen
less /usr/doc/packages/ipchains/ipchains-HOWTOs-1.0.7/HOWTO.txt Zeile 486 Und die Sache mit den Sicherheitsanforderungen solltest Du Dir nochmal überlegen, wenn Du mit so einer Servermaschine wie der SuSE ins Netz gehst ... ;-) Aber dann bist Du ja schon im richtigen (!) Howto :-) Carsten --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Adrian Heydecker schrieb am 03.04.2000 zum Thema "Masquerading, Proxy, Firewall - Mir raucht der Kopf":
Hier noch mal Kurz die "Aufgabenstellung":
Internet --(PPP)--Rechner 1--(LAN)--Rechner 2
- Zugang von Rechner 1 und 2 ans Internet - Im Moment keine Sicherheitsanforderungen
OK, ich versuch's mal...;-) Um beide Rechner ins Inet zu bringen, benötigst Du zunächst einmal Masquerading. Damit "versteckst" Du Dein LAN (also ein ganzes Netz und nicht nur einen Rechner) hinter der (vermutlich dynamisch vergebenen) IP vom Provider. Nächster Schritt ist das Aufsetzen der Proxy-Software, wozu Du Dir entweder den Squid oder den wwwoffle (Serie n) installierst und konfigurierst. Die *.conf-Dateien sind sowohl beim Squid als auch beim wwwoffle sehr ausführlich kommentiert... Als Krönung kommt dann das Aufsetzen der Firewall, aber da kann ich Dir (noch) nicht viel zu sagen (mangels eigener Erfahrung ;-). Ich hoffe, das hilft Dir erstmal weiter, ansonsten -> PM. Viel Erfolg, Christian -- Made with a Macintosh... ChriSchmi@t-online.de http://home.t-online.de/home/chrischmi/ --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
On 03-Apr-00 Adrian Heydecker wrote:
währe. Mir schwirren da jetzt Begriffe wie routing, masquerading, IP-forwarding, Proxies (SQUID) und firewals im Kopf herum. Ich kann aber nicht einordnen, welche Technik ich für welche Aufgaben verwenden soll.
Dann würde ich dir als ALLERERSTES empfehlen, die Grundlagen von Netzwerken und TCP/IP zu lernen. Wenn man ein Haus baut, sollte man nicht mit dem Dachstuhl anfangen, sondern mit dem Fundament. Abgesehen davon ist eine oOuter-Lösung auf Basis eines Modems nicht so der Brüller, weil die Verbindungsaufbauzeiten zu lang sind. ISDN läuft wesentlich besser.
Eigentlich sollte es mal eine ganz einfache "Anfängerlösung" werden. Um Sicherheit und so, will ich mich später mal kümmern, im Moment fehlt mir da einfach die Zeit (ja ich weiss: Linux = lesen,lesen und nochmals lesen :=) )
Ich habe den Eindruck, du gehst etwas falsch an die Sache ran. Lesen ja - aber doch bitte strukturiert und dem vorhandenen Können entsprechend. Was Du willst, ist die Einrichtung eines Routers für dein Netzwerk zuhause. Dazu braucht man erstmal ein paar Grundkenntnisse über Netzwerke, und die haben mit Linux wenig zu tun. Ein paar Tips: Bücher über Networking-Grundlagen gibt es massenhaft, eine gute TCP/IP-Einführung gibts IMHO bei 3Com als PDF-File auf dem Webserver. Lerne, was folgende Begriffe bedeuten (ohne Rücksicht auf Vollständigkeit): Netzwerk, Topologie, IP-Adresse, Netzmaske, Router, Bridge, Gateway, Socket, ISO/OSI-Schichtenmodell danach wirst Du verstehen, was ein Router ist und wie er im Prinzip funktioniert. DANN lies das ppp-HowTo und die diversen anderen Dokus nochmal - und auch die wirst Du dann wohl verstehen.
Hier noch mal Kurz die "Aufgabenstellung": Internet --(PPP)--Rechner 1--(LAN)--Rechner 2
- Zugang von Rechner 1 und 2 ans Internet - Im Moment keine Sicherheitsanforderungen
Es gibt 30 verschiedene Varianten, das zu realisieren. Empfehlung: Zuerst lernen, was Netzwerke sind DANN lernen, wie TCP/IP funktioniert und was Routing/Masquerading bedeutet DANN die Grundbegriffe im Umgang mit Linux lernen und DANACH: 1. ISDN installieren (dringend zu empfehlen für sowas!!!!!!!!) 2. ipppd mit IP-Masquerading konfigurieren 3. IP-Forwarding aktivieren und den Router als Default-Gateway in alle Win-Rechner eintragen Ab da sollte es mal prinzipiell funktionieren. Das Thema Firewall solltest Du am Anfang erstmal vergessen, das kommt später. Wenn es unbedingt ein Modem sein muß, brauchst Du natürlich pppd statt ipppd. Ich würde dann allerdings einen manuellen MasqDialer installieren, weil AutoDial und Modem führt zu Massenhaft Timeouts. Jetzt kannst Du anfangen, zu optimieren - bevorzugterweise durch Spielen mit den Einwahlparametern von ipppd und durch die Installation eines Proxy (z.B. squid, wwwoffle) zur Beschleunigung von Browser-Zugriffen. Auch ein lokaler DNS kann nicht schaden und reduziert die vielen Einwahlversuche. Außerdem könnte sendmail/fetchmail/popper eingerichtet werden, um den Mailverkehr zu puffern. So, und ganz zum Schluß nimmst Du dann ipchains, liest dir das HowTo GUT durch und blockst dann das Forwarding der NetBIOS-Ports ab, um überflüssige Verbindungsaufbauten durch Win-Schrott im Netz zu blockieren. Alternativ kannst Du dir natürlich bei SuSE oder sonstwo nen Techniker kaufen, der das Ganze in nem halben Tag hinkriegen sollte ;). -- =========================================================== Erhard Schwenk - alias Bitrunner =)B==o) =========================================================== No Spam replies please. --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
On Mon, 3 Apr 2000, Adrian Heydecker wrote:
Hallo Liste
Seit ein paar Tagen versuche ich herauszufinden, wie ich mein LAN (bestehend aus nur 2 Rechnern) mit einem einzigen Modem ans Internet bringen kann. Ich habe mich durch diverse HOWTOs und Anleitungen sowie das Mailinglistenarchiv gekämpft. Leider habe ich jetzt das Gefühl, dass ich nun weniger weiss als vorher. Ich denke, dass mein Vorhaben mit verschiedenen Mitteln realisierbar währe. Mir schwirren da jetzt Begriffe wie routing, masquerading, IP-forwarding, Proxies (SQUID) und firewals im Kopf herum. Ich kann aber nicht einordnen, welche Technik ich für welche Aufgaben verwenden soll. Eigentlich sollte es mal eine ganz einfache "Anfängerlösung" werden. Um Sicherheit und so, will ich mich später mal kümmern, im Moment fehlt mir da einfach die Zeit (ja ich weiss: Linux = lesen,lesen und nochmals lesen :=) )
Hier noch mal Kurz die "Aufgabenstellung":
Internet --(PPP)--Rechner 1--(LAN)--Rechner 2
- Zugang von Rechner 1 und 2 ans Internet - Im Moment keine Sicherheitsanforderungen
Danke schon mal für eure Hilfe
Adrian
Hallo Adrian! Nachdem du nun so viele Vorschlaege fuer deine theoretische Weiterbildung bekommen hast, moechte ich dir ankuendigen, dir heute abend eine Mail zuu schicken, aus der einfach nur hervorgeht, was du machen musst, um dein Netzwerk zu betreiben. Die TCP/IP-Grundlagen kannst du dir dann ja nachtraeglich reinpfeifen. Leider sitze ich gerade nicht zu Hause vor meinem Rechner, so dass ich dir die Konfiguration nicht auswendig mailen kann. Nur eine Frage vorweg: Welche SuSE-Version benutzt du? Viele Gruesse Oli /********************************************\ * * * Oliver Tennert * * * * +49 -7071 -9457-598 * * * * e-mail: O.Tennert@science-computing.de * * science + computing GmbH * * Hagellocher Weg 71 * * D-72070 Tuebingen * * * \********************************************/ --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
hallo adrian,
währe. Mir schwirren da jetzt Begriffe wie routing, masquerading, IP-forwarding, Proxies (SQUID) und firewals im Kopf herum. Ich kann aber nicht einordnen, welche Technik ich für welche Aufgaben verwenden soll. Eigentlich sollte es mal eine ganz einfache "Anfängerlösung" werden. Um Sicherheit und so, will ich mich später mal kümmern, im Moment fehlt mir da einfach die Zeit (ja ich weiss: Linux = lesen,lesen und nochmals lesen :=) )
ich weiss jetzt nicht wieviele tipps dir schon zugeflogen sind, aber zum thema firewall, masq etc. gibt es eine sehr gute und vor allem sehr ausfuerliche online-doku: www.little-idiot.de/firewall/ da kannst du dann die naechsten tage mit lesen zubringen :) tschau thomas --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hier noch mal Kurz die "Aufgabenstellung":
Internet --(PPP)--Rechner 1--(LAN)--Rechner 2
- Zugang von Rechner 1 und 2 ans Internet - Im Moment keine Sicherheitsanforderungen
Danke schon mal für eure Hilfe
Adrian
Hallo Adrian, hallo Andreas!
1.) Ist der Kernel richtig kompiliert? Folgende Optionen muessen gesetzt
sein (SuSE6.4, Kernel 2.2.14):
<Networking Options:>
[*] Kernel/User network link driver
[*] Routing messages
<*> Netlink device emulation
[*] Network firewalls
[*] Socket filtering
[*] IP: firewalling
[*] IP: firewall packet netlink device
[*] IP: masquerading (<----- !!!)
[*] IP: ICMP masquerading (<----- !!!)
[*] IP: masquerading special modules support (<----- !!!)
<M> IP: ipautofw masquerade support
<M> IP: ipportfw masquerade support
<M> IP: ipmarkfw masquerade support
[*] SYN flood protection (ist immer gut!)
Erklaerung: Masquerading (das, was du brauchst) ist Teil des
Firewall-Pakets, denn TCP/IP-Pakete muessen inhaltlich nach IP-Adressen
und Ports geprueft werden, bevor sie durchs Netz gehen.
2.) Die "/etc/rc.config" (die IP-Adressen sind natuerlich Beispiel)
NETCONFIG="_0 _1" (denn du hast ja ein Modem UND eine Netzwerkkarte)
IPADDR_0="192.168.0.99" (im folgenden z.B. fuers interne Netz)
IPADDR_1="192.168.0.98" (im folgenden z.B. fuers Modem)
NETDEV_0="eth0"
NETDEV_1="<entsprechendes Modem-Interface>"
IFCONFIG_0="192.168.0.99 broadcast 192.168.0.255 netmask 255.255.255.0 up"
IFCONFIG_1="192.168.0.98 pointopoint
Adrian Heydecker wrote:
Hallo Liste
Seit ein paar Tagen versuche ich herauszufinden, wie ich mein LAN (bestehend aus nur 2 Rechnern) mit einem einzigen Modem ans Internet bringen kann. Ich habe mich durch diverse HOWTOs und Anleitungen sowie das Mailinglistenarchiv gekämpft. Leider habe ich jetzt das Gefühl, dass ich nun weniger weiss als vorher. Ich denke, dass mein Vorhaben mit verschiedenen Mitteln realisierbar währe. Mir schwirren da jetzt Begriffe wie routing, masquerading, IP-forwarding, Proxies (SQUID) und firewals im Kopf herum. Ich kann aber nicht einordnen, welche Technik ich für welche Aufgaben verwenden soll. Eigentlich sollte es mal eine ganz einfache "Anfängerlösung" werden. Um Sicherheit und so, will ich mich später mal kümmern, im Moment fehlt mir da einfach die Zeit (ja ich weiss: Linux = lesen,lesen und nochmals lesen :=) )
Hier noch mal Kurz die "Aufgabenstellung":
Internet --(PPP)--Rechner 1--(LAN)--Rechner 2
- Zugang von Rechner 1 und 2 ans Internet - Im Moment keine Sicherheitsanforderungen
Hallo, ich teile die Meinung nicht, dass man unbedingt immer Routen muss. Die meisten User wollen doch ohnehin nur HTTP nutzen. Wenn dass der Fall ist, dann einfach squid installieren, squid.conf file anpassen (Berechtigungen) und starten. Das lösst mindestens 90% der Problem und ist ein guter und schneller Anfang. Der Rest kommt dann schon ... :-) cu Richard -- Richard Heider jr. http://richard.heider.de/ ##### deutschprachige Linux Dokumentations Datenbank ##### Litefaden.com http://litefaden.com/litelinx/ --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
participants (7)
-
adrian.heydecker@bluewin.ch
-
ChriSchmi@t-online.de
-
cmeyer@mail.com
-
eschwenk@fto.de
-
rhj@list.heider.de
-
suse@windows-free.de
-
tennert@science-computing.de