-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Hallo,
Da die Hardware in unserem alten CentOS 5 Server so langsam das Verfallsdatum erreicht hat, wollte ich neben dem Umstieg von 5 auf 6 auch noch etwas in der Netzwerkkonfig ändern.
Bisher hängen hier alle Rechner und der DSL Router an eth1 vom Server (eth0 gibt's auch ist aber nicht aktiv.) Auf dem Server läuft dhcpd, dns, ntpd usw. Ebenso ist er als Router konfiguriert mit IP-Forwading. Iptables ist aktiv mit den entsprechenden Ports freigeschaltet. Alle Client beziehen Ihre IP vom Server, der ist auch als Gateway für Sie angegeben. Läuft halt so....
Das wollte ich jetzt folgendermaßen ändern.
Alle Client hängen im Subnetz 192.168.1 an eth1 (Server IP: 192.168.1.100) Den DSL-Router wollte ich dann an eth0 (Subnetz 192.168.0 mit Server IP: 192.168.0.100) hängen. Soweit so gut... Nur wie mache ich das jetzt mit dem Routing und dem Forwarding? Für die Clients soll sich natürlich nichts ändern.
Was trage ich nun bei eth1 als Gateway ein? Für eth0 wird dann wohl als Gateway die (neue) IP vom DSL Router eingetragen. Wie funktioniert das mit iptables?
Hat jemand rein zufällig eine Musterkonfig für eine solche Konfiguration mit zwei Schnittstellen?
Google wirft halt so einiges raus, nur wird da entweder das Routing zwischen zwei Subnetzen beschrieben oder wie man iptables konfiguriert
Für jeden sachdienlichen Hinweis dankbar :-)
- -- Cu
Achim
On 05/05/2012 01:21 AM, Achim Theobald wrote:
Alle Client hängen im Subnetz 192.168.1 an eth1 (Server IP: 192.168.1.100) Den DSL-Router wollte ich dann an eth0 (Subnetz 192.168.0 mit Server IP: 192.168.0.100) hängen. Soweit so gut...
Moin Achim,
mal eine Frage vorweg, warum willst Du den ganzen Internet-Kram durch den Server leiten, also im Zweifel mit jedem youtube-Video dort deine eth1 'belaestigen'?
Bau Dir doch aus dem alten Server eine separate Firewall - ich habe hier mit Endian seit Jahren gute Erfahrungen gemacht - und haeng die mit auf den Switch. Das entlastet schon mal deinen Server und ist nach meiner Ueberzeugung auch sicherer, weil nicht jeder potentielle 'Angreifer' gleich auf dem Server landet.
Gruss
Guenther
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
On 05/05/2012 05:39 AM, Guenther Boelter wrote:
On 05/05/2012 01:21 AM, Achim Theobald wrote:
Alle Client hängen im Subnetz 192.168.1 an eth1 (Server IP: 192.168.1.100) Den DSL-Router wollte ich dann an eth0 (Subnetz 192.168.0 mit Server IP: 192.168.0.100) hängen. Soweit so gut...
Moin Achim,
mal eine Frage vorweg, warum willst Du den ganzen Internet-Kram durch den Server leiten, also im Zweifel mit jedem youtube-Video dort deine eth1 'belaestigen'?
War der Ansatz der mir auf Anhieb zu dem meinem "Problem" einfiel. Es gibt immer viele Weg nach Rom :-) Grundsätzlich wollte ich aber den DSL-Router nicht als Standardgateway für's interne Netz nutzen (hat nur 100MBit LAN). Weiterhin möchte ich auch gerne verhindern das die Client's ihr Gateway direkt auf den Router legen können. Weiterhin ist der tolle Router (an den sind wir gebunden) nicht so konfigurierbar das er nur Zugriffe von speziellen IPs/MAC Adressen (zb. nur Server und Konfigurations-Laptop) zulässt.
Bau Dir doch aus dem alten Server eine separate Firewall - ich habe hier mit Endian seit Jahren gute Erfahrungen gemacht - und haeng die mit auf den Switch. Das entlastet schon mal deinen Server und ist nach meiner Ueberzeugung auch sicherer, weil nicht jeder potentielle 'Angreifer' gleich auf dem Server landet.
Sorry, mit zwei/drei Server zu arbeiten ist nicht wirklich eine Option. Damit Habe ich vor 4 Jahren aufgehört. Naja, den WXP "Server" den ich noch immer brauche für drei Programme, der läuft inzwischen in einer VM...
Aber skizziere mal bitte Deinen Aufbau und wie da das interne und externe Routing/Forwarding funktioniert. Ich möchte mir davon mal gerne ein Bild machen.
- -- Cu
Achim
Erstmal das routing. Dein Server wird genau gleich wie vorher belastet. Er routet ja gas ganze. Wen auf deinen Clieneten die 192.168.1.100 als default gw eingetragen ist.
vi /etc/rc.local
/sbin/route add -net 192.168.0.0 netmask 255.255.255.0 gw 192.168.1.100 eth1
vi /etc/sysconfig/network
GATEWAY=192.168.0.100
/etc/init.d/networking restart
-------- Original-Nachricht --------
Datum: Fri, 04 May 2012 19:21:44 +0200 Von: Achim Theobald ath.mailman@muffti.de An: German mailing list for CentOS centos-de@centos.org Betreff: [CentOS-de] Routing, Forward usw.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Hallo,
Da die Hardware in unserem alten CentOS 5 Server so langsam das Verfallsdatum erreicht hat, wollte ich neben dem Umstieg von 5 auf 6 auch noch etwas in der Netzwerkkonfig ändern.
Bisher hängen hier alle Rechner und der DSL Router an eth1 vom Server (eth0 gibt's auch ist aber nicht aktiv.) Auf dem Server läuft dhcpd, dns, ntpd usw. Ebenso ist er als Router konfiguriert mit IP-Forwading. Iptables ist aktiv mit den entsprechenden Ports freigeschaltet. Alle Client beziehen Ihre IP vom Server, der ist auch als Gateway für Sie angegeben. Läuft halt so....
Das wollte ich jetzt folgendermaßen ändern.
Alle Client hängen im Subnetz 192.168.1 an eth1 (Server IP: 192.168.1.100) Den DSL-Router wollte ich dann an eth0 (Subnetz 192.168.0 mit Server IP: 192.168.0.100) hängen. Soweit so gut... Nur wie mache ich das jetzt mit dem Routing und dem Forwarding? Für die Clients soll sich natürlich nichts ändern.
Was trage ich nun bei eth1 als Gateway ein? Für eth0 wird dann wohl als Gateway die (neue) IP vom DSL Router eingetragen. Wie funktioniert das mit iptables?
Hat jemand rein zufällig eine Musterkonfig für eine solche Konfiguration mit zwei Schnittstellen?
Google wirft halt so einiges raus, nur wird da entweder das Routing zwischen zwei Subnetzen beschrieben oder wie man iptables konfiguriert
Für jeden sachdienlichen Hinweis dankbar :-)
Cu
Achim -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.19 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
iQEcBAEBAgAGBQJPpBAoAAoJEPFIdvDeETreo4wH/RUADXwlNLlF+1LnzCfLcTUl lHy2z4Xy7CQRQ2zMbWrfs2ZzSAECXtNpJFo7aDdVjfM3yzFKnBHeOt9JRFLPDrn2 ZANnxlQkluUOyp06yNrqUSFBx9EMBY8WThJBj6tBp9G4rnL3ILnxPDz92R0IWFxY 7bcd/xjY5spdkdCZrLPslg35Y5GUEJrTa17qoIScBz5i+kxbiB/S4d+JYj0OUFit IYgML49LyGnKW4tdT/RvOej6iTDgH5oaSyPZecDm/87AXUlYSyQtVIbNAbdF8hR8 1O0HtEgtG7LbRNdWGdUtGiM4tLxd1sA7iRhdWRdLTDAL2bk8Kmqltb7ZU19vZAY= =kmVJ
-----END PGP SIGNATURE-----
CentOS-de mailing list CentOS-de@centos.org http://lists.centos.org/mailman/listinfo/centos-de
Am Fri, 04 May 2012 19:21:44 +0200 schrieb Achim Theobald ath.mailman@muffti.de:
(..)
Auf dem Server läuft dhcpd, dns, ntpd usw. Ebenso ist er als Router konfiguriert mit IP-Forwading. Iptables ist aktiv mit den entsprechenden Ports freigeschaltet. Alle Client beziehen Ihre IP vom Server, der ist auch als Gateway für Sie angegeben. Läuft halt so....
(..)
Alle Client hängen im Subnetz 192.168.1 an eth1 (Server IP: 192.168.1.100) Den DSL-Router wollte ich dann an eth0 (Subnetz 192.168.0 mit Server IP: 192.168.0.100) hängen. Soweit so gut... Nur wie mache ich das jetzt mit dem Routing und dem Forwarding?
Am Server muss ip-forwarding eingeschaltet werden, wenn Du nicht alles über Proxys abwickeln willst. Das ist eine grundsätzliche Design- und Security-Entscheidung.
Das Routing hängt davon ab. was die "Router" können. Wenn der DSL-Router kein dynamisches Routing kann und zumindest ein Teil des Verkehrs nicht über Proxies, sondern via IP-forwarding abgewickelt werden soll, musst Du ihm eine statische Route zum Client-Netzwerk mit der eth0-Adresse als Gateway eintragen, sonst finden die Pakete zwar den Weg hinaus, aber nicht mehr zurück. Für Linux gibt es routing-Daemons wie Quagga, ehem. Zebra. Vorzugsweise OSPF, notfalls auch RIP. Wenn das nicht möglich ist, musst Du entweder ausschließlich mit Proxies (egal ob transparent oder non-transparent) oder mit NAT alias IP-masquerading am Server arbeiten.
Eigentlich hättest Du auch bisher ein dynamisches Routing gebraucht, weil mit Server und DSL-Router zwei Router im selben Netz mit den Clients waren. Vermutlich war in Deinem Netz "ICMP redirect" erlaubt, sonst hätte das nicht funktioniert. Sicheres Netzwerk-Design verbietet solche Krücken, weil man damit halt auch unerlaubte Router integrieren kann und außerdem hat es in Deinem alten Setup die iptables-Regeln ausgehebelt. Aber das musst Du insbesondere am Client korrigieren.
Für die Clients soll sich natürlich nichts ändern.
Wenn diese via DHCP bereits die Server-Adresse .1.100 als Default-Gateway bekommen, dann kann das unverändert bleiben.
Was trage ich nun bei eth1 als Gateway ein?
Nichts. Es kann nur ein Default-Gateway im System geben.
Für eth0 wird dann wohl als Gateway die (neue) IP vom DSL Router eingetragen.
Richtig.
Wie funktioniert das mit iptables?
"Auch"... aber eigentlich kommt Centos-6 für diese Zwecke mit einem Tool namens system-config-firewall (bzw. -tui) daher. Für die meisten Setups inkl. IP-masquerading reicht das aus. Man sollte aber nur das konfigurieren, was man sicher versteht und nicht nur, was man vermutet.
Gruß, Tobias.
-
"Daniel Müller" -
Achim Theobald -
Guenther Boelter -
Tobias Crefeld