Toon posts:

1 modem, 3 netwerken en een linux server als router

Pagina: 1
Acties:

woensdag 30 juli 2008 13:12

Acties:
  • Shalingoul
  • Registratie: Juni 2007
  • Laatst online: 28-03-2024

Shalingoul

Topicstarter
Goedemiddag

Ik zit met het volgende:
Het is een klein hotel in hartje Maastricht met 7 kamers die beschikken over een (gratis) WLAN verbinding.
Op dit moment is het zo dat er één netwerk is, en de linux server een client is binnen het netwerk.



ADSL modem

(eth3)
ubuntu 8.10 x64 server
⇓                                   ⇓                                   ⇓
(eth0) LAN Switch (privé)    (eth1) LAN Switch    (eth2) WLAN (hotel gasten)

WLAN (zakenlijk)


Het volgende is waar ik naar toe wil, dat de server als router fungeert en ook de 3 netwerken gescheiden houd van de andere 2 netwerken.
Elk los netwerk heeft weer zijn eigen poort op de server.

Nu is mijn vraag: wat heb ik hier voor nodig en hoe doe ik dit.

Alvast bedankt! ;)

woensdag 30 juli 2008 13:18

Acties:
  • Osiris
  • Registratie: Januari 2000
  • Niet online

Osiris

Gewoon drie verschillende subnetten maken voor de drie netwerken?

En waarom staat er bij elke switch ook 'eth0' enzo? :?Wacht, die pijltjes naar beneden daarboven niet gezien :+ Ik snap 't :)
Verwijderd schreef op woensdag 30 juli 2008 @ 13:20:
[...]

Dit is een aanduiding in Linux, voor de netwerkkaart.
I know, maar ik volgde z'n ASCII-art-plaatje niet echt meteen, 't is nog vroeg O-)

[ Voor 61% gewijzigd door Osiris op 30-07-2008 13:21 ]

woensdag 30 juli 2008 13:20

Acties:

Verwijderd

Osiris schreef op woensdag 30 juli 2008 @ 13:18:

En waarom staat er bij elke switch ook 'eth0' enzo? :?
Dit is een aanduiding in Linux, voor de netwerkkaart.

woensdag 30 juli 2008 13:21

Acties:
  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 07-02 09:48

TrailBlazer

Karnemelk FTW

ik neem aan dat je iptables support in je kernel hebt. Dan moet je even de netfilter howto even lezen en even zoeken op GoT

maar wat denk ik wel zal werken
code:
1
2
3
4
5
6
7
8

iptables -P INPUT DROP
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A INPUT -i eth3 -m state --state  ESTABLISHED,RELATED -j ACCEPT

iptables -P FORWARD DROP
iptables -A FORWARD -o eth3 -J ACCEPT

iptables -t nat -A POSTROUTING -o eth3 -J MASQUERADE


O en dit ook nog even doen
echo 1 >/proc/sys/net/ipv4/ip_forward

als je drie netwerken maakt en forwarding staat aan dan kan je ook meteen elkaar bereiken en dat wil de TS natuurlijk niet.

[ Voor 18% gewijzigd door TrailBlazer op 30-07-2008 15:46 ]

woensdag 30 juli 2008 15:15

Acties:
  • Osiris
  • Registratie: Januari 2000
  • Niet online

Osiris

TrailBlazer schreef op woensdag 30 juli 2008 @ 13:21:
als je drie netwerken maakt en forwarding staat aan dan kan je ook meteen elkaar bereiken en dat wil de TS natuurlijk niet.
Daar heb je diezelfde iptables voor lijkt me? :) Daarmee kun je de 3 subnets onderling vast wel mee gescheiden houden, ondanks de ip_forward.

woensdag 30 juli 2008 15:47

Acties:
  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 07-02 09:48

TrailBlazer

Karnemelk FTW

Laat dat nou net zijn wat mijn iptables rules doen. Het is volgens mij wel het meest minimale wat je je kan bedenken.

woensdag 30 juli 2008 16:30

Acties:
  • Osiris
  • Registratie: Januari 2000
  • Niet online

Osiris

Hmkay, khad ze niet echt doorgenomen, dacht dat je gewoon wat NAT-dingen aan 't fixen was :P In Home Router Guide: NAT (a.k.a. IP-masquerading) (Gentoo Documentation) stond namelijk een ietswat grotere snippet voor iptables om lekker te NAT-ten. :P

woensdag 30 juli 2008 16:38

Acties:
  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 07-02 09:48

TrailBlazer

Karnemelk FTW

FF snel gekeken maar die config is wat gammel naar mijn idee niet uitgetest maar als ik zo snel kijk kan het beter. Ik heb het wel uber minimaal gehouden hoor. Als je bijvoorbeeld een DHCP en DNS server wil gaan draaien op je zakenlijk en gasten lan moet je de input even wat verder openzetten.

woensdag 30 juli 2008 17:00

Acties:
  • Osiris
  • Registratie: Januari 2000
  • Niet online

Osiris

Zowieso snap ik jouw minimale config niet echt. Je gebruikt drie-maal eth3 ofzo en éénmaal eth0, terwijl eth0, eth1 en eth2 in principe 'gelijkwaardig' zijn. Als je dan eth0 gebruikt, dan zou je toch ook minimaal eth1 en eth2 evenvaak moeten gebruiken?

woensdag 30 juli 2008 19:54

Acties:
  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 07-02 09:48

TrailBlazer

Karnemelk FTW

omdat eth0 prive is ga ik er vanuit dat die wel sessie op mag zetten naar de linux machine. De 2 andere netwerken niet dat is namelijk nergens voor nodig. Tenzij je een DNS/DHCP server hebt draaien voor die andere netwerken. Vandaar heeft eth0 meer rechten in de INPUT chain.
Verder mag verkeer van alle interfaces geforward worden over via eth3. Vervolgens moet al dat verkeer wat naar buiten gaat over eth3 nog even genat worden. Binnenkomend verkeer op eth3 wordt alleen toegestaan als het hoort bij een reeds bestaande nat entry of een uitgaande sessie van de firewall.

woensdag 30 juli 2008 20:26

Acties:
  • Osiris
  • Registratie: Januari 2000
  • Niet online

Osiris

Ah op die fiets. Is 't dan niet handiger om éérst eth0 toegang tot de bak te laten houden en dán pas de policy op DROP te zetten? :+ Beetje jammer als je hem vanuit je privé-LAN loopt te configgen en je SSH kapt dr opeens mee :+

woensdag 30 juli 2008 21:26

Acties:
  • Shalingoul
  • Registratie: Juni 2007
  • Laatst online: 28-03-2024

Shalingoul

Topicstarter
TrailBlazer schreef op woensdag 30 juli 2008 @ 19:54:
.... Tenzij je een DNS/DHCP server hebt draaien voor die andere netwerken. Vandaar heeft eth0 meer rechten in de INPUT chain. ...
Ik moet inderdaad wel een DNS en een DHCP server draaien op de 3 netwerken het lijkt mij namelijk niet beter om die allen te voorzien van een eigen router 8)7

woensdag 30 juli 2008 21:35

Acties:
  • Osiris
  • Registratie: Januari 2000
  • Niet online

Osiris

Shalingoul schreef op woensdag 30 juli 2008 @ 21:26:
[...]


Ik moet inderdaad wel een DNS en een DHCP server draaien op de 3 netwerken het lijkt mij namelijk niet beter om die allen te voorzien van een eigen router 8)7
Dan moet je die specifieke poorten op die specifieke interfaces ook eventjes ACCEPT-ten :)

woensdag 30 juli 2008 21:39

Acties:
  • LinuX-TUX
  • Registratie: December 2003
  • Laatst online: 02-03 20:35

LinuX-TUX

Ik zou gewoon middels http://www.fwbuilder.org een firewall in elkaar flanzen. Dit heb ik vroeger ook altijd op de zaak gebruikt, gewoon heerlijk. DMZ, VPN naar co-locatie, Modem & LAN op 1 bak was redelijk normaal voor mij, dus heb ik ook met 4 interfaces tegelijk zitten werken.

Als je dat eenmaal in elkaar geknutseld hebt, is je routeringsgedeelte redelijkerwijs af om te testen. Daarna is het nog even een DHCP server zo gek krijgen om op elke interface z'n dienst te laten doen met de voorgeconfigureerde pools en correcte gateways die aansluiten op je firewall script ;)

Succes :Y)

donderdag 31 juli 2008 07:06

Acties:
  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 07-02 09:48

TrailBlazer

Karnemelk FTW

Osiris schreef op woensdag 30 juli 2008 @ 20:26:
Ah op die fiets. Is 't dan niet handiger om éérst eth0 toegang tot de bak te laten houden en dán pas de policy op DROP te zetten? :+ Beetje jammer als je hem vanuit je privé-LAN loopt te configgen en je SSH kapt dr opeens mee :+
Daarom dit ook altijd ff een een scriptje zetten en dan runnen.
Als je dat trouwens doet moet je wel eerst ff alle rules flushen voordat je opnieuw begint.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq