ADSL Zugang mit RedHat 7.x ,für Alcatel NICversion Sharing &Firewall,1.Kapitel
 

Erst die Systemeinstellung überprüfen:
Notwendig sind IP-tables und die Protokolle:ppp und pptp:
Es wird für das Alcatel Modem benötigt!!
Letzteres kann man als fertiges Script herunterladen:
http://howto.htlw16.ac.at/AT-HIGHSPEED-HOWTO.html
Das FERTIGKOMP. Script auswählen,(fürs neue Alcatel ist es in der 3. Zeile im Abschnitt 2.6) in den Ordner /usr/sbin/ kopieren.

Eingabe: lsmod
wenn hiebei nix kommt,als Module... Size....Used by, dann gehe zu Kapitel 2:
Ansonsten HIER weiter machen:

Jetzt am leichtesten mit dem MidnightCommander arbeiten:
Aufruf durch: mc
Damit lassen sich Dateien leicht bearbeiten,kopieren und verschieben.

Trage in in die Datei /etc/hosts einen Hostnamen für das ADSL-Modem ein:

10.0.0.138 alcatel

In der Datei "resolv.conf"(ist in /etc/) sind die Nameserveradressen einzutragen.
Für UTA siehe Beispiel >
--------------------------

nameserver 195.70.224.61
nameserver 195.70.224.62

In /etc/ppp/options sollte folgendes eingetragen sein:


noipdefault
name "<username>"
noauth
defaultroute
lcp-echo-failure 10
lcp-echo-interval 10

dann in den pap-secrets (sind in /etc/ppp/) eintragen so wie geschrieben mit""
"Name@utadsl" oder wenn vorher Account bestand: !"Name@uta1002.at@utadsl"
in der gleichen Zeile 5 Leerzeichen,danach * Passwort
mc jetzt beenden mit F10 und eingeben:
linuxconf
Netzwerk > Standards
Jetzt WICHTIG! NIC für Internet soll eth0 sein: IPAdresse eingeben:
10.0.0.140
subnetmask:255.255.255.0
Fürs LAN 2. NIC:eth1
192.168.0.101
subnetmask:255.255.255.0
falls nötig, korrigieren!
Beenden mit speichern.
Anschliessend mit DER Eingabe das Netzwerk neu starten:
/etc/rc.d/init.d/network restart
Nächster Schritt:
Wenn Modem angeschlossen, eingeschaltet und betriebsbereit ist(erkennt man am grünen LED) versuchen, das Modem zu pingen:
ping alcatel
wenn Antwort kommt wie etwa:
64 bytes from 10.0.0.138: icmp_seq=0 ttl=15 time=1.464 ms
64 bytes from 10.0.0.138: icmp_seq=1 ttl=15 time=1.496 ms
ist Modemverbindung OK, ping stoppen mit Tasten STR+C
Jetzt eingeben:
pptp alcatel
Falls Meldung kommt wie :unknown:blabla : Client established
........................unknown:blabla : Connection established
.........................eventuell: discarding out of order
sollte pingen funken:
ping 80.78.228.21 (zum Beispiel)
und es kommt:
64 bytes from 80.78.228.21: icmp_seq=0 ttl=15 time=1.464 ms
stoppen mit STRG+C, hast du Verbindung!!!
Sollte aber Meldung kommen wie: cannot load Modul, oder Kernel needs to be bla bla, jedenfalls nicht die vorher beschriebenen Meldungen dann musst deinem Kernel Module hinzufügen.
Das steht in Kapitel 2:

PS: Bitte jetzt keine dummen Sprüche, sondern falls ich etwas übersehe, bitte um Korrektur!

Re: ADSL Zugang mit RedHat 7.x ,für Alcatel NICversion Sharing &Firewall,1.Kapitel
 

Es reicht auch ein Leerzeichen, und nicht fünf, der Username wird normalerweise ohne Anführungszeichen eingegeben.
name@provider.com * passwort


Soweit ich weiß, deaktiviert man Einträge mit einem "#" und nicht mit einem Rufzeichen "!".

2.Kapitel: Kernel kompilieren
 

Als erstes ganz WICHTIG: Alten Kernel sichern:
Geht nur bei Rootanmeldung!
Das geschieht folgendermassen:Genaue Schreibweise beachten
Eingabe:
cp /boot/vmlinuz /boot/vmlinuz.old
danach Eingabe:
cp /boot/System.map /boot/System.map.old
(Damit ist der bestehende Kernel gesichert, und du kannst notfalls dein SYS wieder starten!)
Jetzt die Konfiguration, dazu eingeben:
cd /usr/src/linux
make menuconfig
(Es erscheint eine Oberfläche, ähnlich dem Bios von W9x
darin folgende Optionen,falls noch nicht, aktivieren:)(Hilfe verwenden, da überall Texte dazu vorhanden sind)
Bei loadable module support: Enable loadable module support
Networking options:die meisten IP sachen (hilfstext lesen)
(M) setzen, damit wird Modul gefertigt, und der Kernel nicht zu gross!
ipchains falls aktiviert, deaktivieren!!!!
Network device support:
hier ppp aktivieren
Ethertap aktivieren
ausserdem bei Ethernet 1000:
ppp_async als (M)
Ausstieg mit Exit und abspeichern!!
Eingabe:
make dep clean bzImage modules modules_install (WICHTIG ist grosses i beim bzImage)
(jetzt zurücklehnen, einen Kaffee oder Zig. dauert ca. 10 -20 min)
wenn fertig und Kommandozeile wieder da:
cp arch/i386/boot/bzImage /boot/vmlinuz
cp System.map /boot/
(Bei Abfrage ob überschrieben soll, mit "y" bestätigen!)
lilo (falls verwendet wird, ist Standardbootmanager)

Danach System mit neuen Kernel starten!

Es folgt Kapitel 3

@Flanders:
Bei UTA erforderlich!!!!

3.Kapitel
 

Windowsrechner für das sharing vorbereiten und LAN -Verbindung testen:
IP Adresse sollte sein :192.168.0.x (x= freie Wahl)
Subnetmask:255.255.255.0
Bei den Netzwerkeigenschaften der Windows-rechner > Gateway: IP-adresse vom Linux eingeben: 192.168.0.101
Bei DNS: DNS aktivieren anhaken
Hostname eingeben= Rechnername
Nameserver eintragen,z.B. für UTA
195.70.224.61
195.70.224.62
danach neu starten
Testen der Verbindung zu Linux
Dos eingabeaufforderung: ping 192.168.0.101
Internetexplorer > Eigenschaften > Verbindung: Keine Verbindung anhaken, bei Eigenschaften für LAN alle Häkchen weg
Zum Linux zurück, an der Konsole eingeben:
pptp alcatel (Verbindungsaufbau)
danach eingeben:
/sbin/iptables -A POSTROUTING -t nat -o ppp0 -j MASQUERADE
echo 1>/proc/sys/net/ipv4/ip_forward
jetzt noch pingen vom Windows rechner
ping 192.168.0.101
ping 80.78.228.21
falls ping erfolgreich, steht die Verbindung von beiden Rechnern ins Web.
Wenn nicht Schritte nochmals durchgehen, ob Schreibfehler etc.
Es folgt Kapitel 4: Minifirewall mit Masquerade

PS: Erst morgen, ich bin hundemüde!!

4.Kapitel Die Firewall
 

Die FW dient dazu, Angriffe aus dem Web auf den Rechner abzublocken.
1.) 100 % Schutz gibts nur, wenn man den Rechner abdreht, da sind sich selbst die Experten einig, um aber einigermassen Schutz zu haben,ist folgendes Script gedacht, damit kann man ausserdem die Verbindung starten.in weiterer Folge werd ich versuchen, ein Script zu fertigen, das es ermöglicht,den Linux als Proxy -Server einzusetzen im Moment aber werden wir uns mit einem einfachen Script begnügen,das die eingehenden Pakete filtert, sozusagen eine IP -Filter FW.
Kopiere das folgende Script in die Datei: firegate
(Am besten wieder mit: mc)

#! /bin/sh
#Geschrieben von Excalibur
killall pppd
killall pptp
iptables -F
iptables -t nat -F
echo "RESTART"
sleep s 5
/usr/sbin/pptp alcatel
sleep s 5
iptables -A INPUT -i ppp0 -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -N block
iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A block -m state --state NEW -i ! ppp0 -j ACCEPT
iptables -A block -j DROP
iptables -A INPUT -j block
iptables -A FORWARD -j block
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
echo "FIREGATE AKTIV"
#Scriptende


#Zeilen einhalten, jedes Kommando 1 Zeile

Dieses Script mit Namen:firegate ins /bin/ kopieren, und ausführbar machen mit:
chmod 700 firegate

Zum Starten des Scripts eingeben: firegate
zum beenden der Verbindung: killall pppd
..........................: killall pptp

Wenn das Script nach Verbindungstrennung wieder aufgerufen wird, kommt neue Verbindung zustande, danach flushed es die IPtables, und wird aktiv!

PS: Ich hoffe, damit sind auch die Linuxgurus einverstanden, soll nur mal Anfangsschutz sein.

WENN ES EURE ANERKENNUNG FINDET;KÖNNTE MAN ES VIELEICHT FIXIEREN
damit es nicht dauernd gesucht werden muss?
Nächste Kapitel folgen!
mfg Excalibur33

Aha, und Policies braucht man nicht?
Die Policies aller chains sind normal auf ACCEPT gesetzt.

Bei so ziemlich allen HowTo's setzt man Policies, obwohl du eh alle anderen Pakete verwirfst ...

Lieber Excalibur!

Lang hats gedauert, aber nun dürftest auch Du das Licht gesehen haben! ;)
Formulierung, etc. ist OK, das script könnte mit start/stop/status etwas eleganter sein, aber bitte - is ja eine erste Version :)

Nur eins ist mir ein bissi aufgestossen:
Ein "Proxy" ist der Rechern durch Dein Skript ja schon, da Du ja NATest (die Masquerading-Zeile). Die anderen Zeilen beziehen sich auf die Packet-Filtering FW. Ev. solltest Du nochmals die IPTABLES-HowTos lesen, damit Du die Begriffe endgültig auf die Reihe bekommst.
Oder willst Du noch Proxies auf Applikationsebene (squid, ...) einrichten - da ist es aber mit einem Script nicht getan.

Ansonsten sehr schön und fein, dass Du Dir die Kommentare zu Herzen genomen hast, auch wenns macnhmal etwas länger gedauert hat :D

Ach ja: Die Lektüre des Filesystem Hierarchy Standard (FHS) währe auch empfehlenswert, damit Du weisst, wo welche Scripts, etc. hingehören. :)

Wenn du echo-replies auch noch durchlässt kann man von der Box auch pingen...

--qu

@ all:
Vielen Dank für die anerkennenden Worte, dafür, dass ich noch vor 1 Monat nichts von Linux wusste, bin ich mit eurer hilfe schon etwas weiter.Ich hoffe nur, das meine "Kommentare" zwischen den Postings nicht jeder(mann)(frau) sauer aufgestossen sind!
mfg und n schönes Weekend Excalibur33

5.Kapitel :Wichtige Nachträge
 

Zur Zugangskonfiguration:
Sollte eine Verbindung aufgebaut werden, und der Zugriff aufs Web funkt nicht, ist 1 Möglichkeit, dass die Logins& Passwort nicht korrekt eingetragen wurden, darum überprüfen mit Eingabe:
ifconfig

Erscheint danach eth0, eth1, lo, ppp0 mit div. Daten, und der ping is Web geht nicht,folgendes versuchen:
Verbindung trennen, mit killall pppd
...................... killall pptp

danach auf der Konsole die adsl_config aufrufen mit :
adsl-setup
danach Schritt für Schritt die Fragen beantworten(Passwort wird 2x abgefragt, Firewallabfrage mit 0 beantworten!)
Wenn dies erledigt ist, Verbindungsaufbau neu probieren.
Hiermit werden nämlich die pap-secrets-einträge mit der richtigen Syntax eingetragen!
------------------------------------------------------------------
Zur Bootmanagersache:
Bringt einen wesentlichen Vorteil, gleich nach der Kompilierung bei
Abschluss mit
lilo
einen 2. Eintrag zum Booten des alten Kernel vorzunehmen, geschieht folgendermassen:Midnightcommander starten mit
mc
ins Verzeichnis /etc/ wechseln
die Datei lilo.conf öffnen,
danach einfügen:
image=/boot/vmlinuz
label=neu
read-only
root=/dev/###
(Wobei ### der gleiche Eintrag wie im vorhandenen Label sein soll)
danach abspeichern, mc schliessen,lilo erneut aufrufen mit:
sbin/lilo
--------------------------------------------------------------
Zur Firewall:
http Dienste können damit nicht freigegeben werden! Also keine Homepage am eigenen Server!
Wurde absichtlich klein und übersichtlich gehalten, und man kann jederzeit mit erneuten Aufruf die Verbindung resetten!
Sollte die FW mit Fehlermeldungen starten:
1.)vor jedem "iptables" einfügen:
/sbin/
2.)Sollte sie trotzdem mit Fehlermeldungen starten,(cannot Module oder Kernel needs update, so in dieser Richtung!) Kernel konfiguration überprüfen, siehe Kapitel 2
---------------------------------------------------------

6.Kapitel Wichtige Kommandos
 

Um die wichtigsten anzuführen, die gebraucht werden!
ifconfig (zeigt die momentanen Netzverbindungen an, wie eth, ppp,lo)
mc (ruft den Midnightcommander auf,ein Prog. zum kopieren, umbenennen, etc.)
route -n ( zeigt die Routingtabelle an)
ps -aux ( zeigt alle laufenden Prozesse an)
lsmod ( zeigt alle vorhanden Module, und deren Benutzung an)
chmod ( macht das Script ausführbar, Syntax wie "a+x" oder "755" erforderlich )
linuxconf ( nur bei RedHat!, ruft Konfigurationsprogramm auf)
killall "name" (beendet Prozess, Programm)
iptables -h ( zeigt übersicht möglicher Syntax)
ping "IP" ( ermöglicht das Testen einer Verbindung, IP = Eingabe der IP adresse,oder Name der Web-Site)

Eventuelle Rückfragen bitte NEU posten !
mfg Excal

linuxconf gibts auch bei mandrake, debian,...

bei redhat und mdk kann man es halt schon beim start aufrufen.

Firewall ist etwas übertrieben, die Kiste setzt jeder mit einem Ping of Dead, Synflood oder Dos ausser Betrieb.
Die unpriviliegirten Ports werden auch nicht aktiviert, ausserdem ist der komplette Zugriff auf den Server gegeben.

Das einzige was die "Firewall" macht ist routen :(

Sloter

[offtopic]
ein ernüchterndes, vernichtendes urteil :o
[/offtopic]

Zwecks Beweis ,dass die FW tatsächlich dicht macht, sollte der Test https://grc.com/x/ne.dll?bh0bkyd2 demnach in etwa so ein Er
gebnis zeigen:
212.152.242.xxx


Is being 'NanoProbed'. Please stand by. . .






Total elapsed testing time: 9.983 seconds
(See "NanoProbe" box below.)



Port
Service
Status Security Implications

21
FTP
Stealth! There is NO EVIDENCE WHATSOEVER that a port (or even any computer) exists at this IP address!

23
Telnet
Stealth! There is NO EVIDENCE WHATSOEVER that a port (or even any computer) exists at this IP address!

25
SMTP
Stealth! There is NO EVIDENCE WHATSOEVER that a port (or even any computer) exists at this IP address!

79
Finger
Stealth! There is NO EVIDENCE WHATSOEVER that a port (or even any computer) exists at this IP address!

110
POP3
Stealth! There is NO EVIDENCE WHATSOEVER that a port (or even any computer) exists at this IP address!

113
IDENT
Stealth! There is NO EVIDENCE WHATSOEVER that a port (or even any computer) exists at this IP address!

135
RPC
Stealth! There is NO EVIDENCE WHATSOEVER that a port (or even any computer) exists at this IP address!

139
Net
BIOS
Stealth! There is NO EVIDENCE WHATSOEVER that a port (or even any computer) exists at this IP address!

143
IMAP
Stealth! There is NO EVIDENCE WHATSOEVER that a port (or even any computer) exists at this IP address!

443
HTTPS
Stealth! There is NO EVIDENCE WHATSOEVER that a port (or even any computer) exists at this IP address!

445
MSFT
DS
Stealth! There is NO EVIDENCE WHATSOEVER that a port (or even any computer) exists at this IP address!

5000
UPnP
Stealth! There is NO EVIDENCE WHATSOEVER that a port (or even any computer) exists at this IP address!

mfg Excal,der User, der niemals schläft! :)

Guten Morgen!

... scan.sygate.com kannst auch noch testen!

Grüße

Manx

Vielen Dank, Manx
Testergebnis von Sygate:
Your system ports are now being scanned and the results will be returned shortly...
Results from stealth scan at TCP/IP address: 212.152.242.xxx

Ideally your status should be "Blocked." This indicates that your ports are not only
closed, but they are completely hidden (stealthed) to attackers.

Service Ports Status Additional Information
FTP DATA 20 BLOCKED This port has not responded to any of our probes. It appears to be completely stealthed.
FTP 21 BLOCKED This port has not responded to any of our probes. It appears to be completely stealthed.
SSH 22 BLOCKED This port has not responded to any of our probes. It appears to be completely stealthed.
TELNET 23 BLOCKED This port has not responded to any of our probes. It appears to be completely stealthed.
SMTP 25 BLOCKED This port has not responded to any of our probes. It appears to be completely stealthed.
DNS 53 BLOCKED This port has not responded to any of our probes. It appears to be completely stealthed.
DCC 59 BLOCKED This port has not responded to any of our probes. It appears to be completely stealthed.
FINGER 79 BLOCKED This port has not responded to any of our probes. It appears to be completely stealthed.
WEB 80 BLOCKED This port has not responded to any of our probes. It appears to be completely stealthed.
POP3 110 BLOCKED This port has not responded to any of our probes. It appears to be completely stealthed.
IDENT 113 BLOCKED This port has not responded to any of our probes. It appears to be completely stealthed.
NetBIOS 139 BLOCKED This port has not responded to any of our probes. It appears to be completely stealthed.
HTTPS 443 BLOCKED This port has not responded to any of our probes. It appears to be completely stealthed.
Server Message Block 445 BLOCKED This port has not responded to any of our probes. It appears to be completely stealthed.
SOCKS PROXY 1080 BLOCKED This port has not responded to any of our probes. It appears to be completely stealthed.
SOURCE PORT 4485 BLOCKED This is the port you are using to communicate to our Web Server. A firewall that uses Stateful Packet Inspection will show a 'BLOCKED' result for this port.
WEB PROXY 8080 BLOCKED This port has not responded to any of our probes. It appears to be completely stealthed.

You have blocked all of our probes! We still recommend running this test both with
and without Sygate Personal Firewall enabled... so turn it off and try the test again.
If you are not already running our Enterprise Security Agent or our Personal Firewall,
try our Award-Winning Personal Firewall now.

Na geh, warum sind bei der IP lauter xxx :hehe:

Sloter

du hast max 254 ips zum durchprobiern, wo leigt das problem?

zuerst machst einen ping sweep, dann nimmst du alle die raus, die responden und dann machst du dich an die, die NCIHT responden, da dürfte dann eh nimma viel übrigbleiben ... :D :hehe:

@Valo:
Damit erwischt er sicher an andern, weil mei IP dynamisch ist, und alle paar Stund wechselt!:D
Mfg Excal