Netmask, Routing
 

Ich habe ein paar Probleme beim Aufsetzen einer Mandrake Single Network Firewall (konkret: beim Port-Forwarding) und versuche es zur Zeit einzugrenzen.

Eine Sache ist da die Routingtabelle, bei der ich mir nicht 100% sicher bin, dass die stimmt. Und da ist es insbesondere die Netmask.

Wir haengen an einem Breitbandkabel, auf der Providerseite steht ein Router mit der Adresse 213.236.176.117. Die Firewall auf unserer Seite hat zum Internet hin (eth1) die Adresse 213.236.176.118, zur internen Seite hin (eth0) die Adresse 192.168.1.1. Auf der internen Seite stehen PC's und Drucker mit den Adressen 192.168.1.x. Let's show it with ASCII-Art...

213.236.176.117 | Router vom Provider
|
|
213.236.176.118 |
=============== | Firewall
192.168.1.1 |
|
|
192.168.1.x | unsere PC's und Drucker
192.168.1.4 | unser Webserver

Und das liegt zur Zeit in der Firewall-Routing Tabelle drinnen (vom Mandrake Konfigurationsprogramm erzeugt). Vor allem die 1. Zeile verstehe ich nicht ganz.

Kernel IP routing table(verkuerzt)
Destination Gateway Genmask Flags Iface
213.236.176.116 * 255.255.255.252 U eth1
192.168.1.0 * 255.255.255.0 U eth0
127.0.0.0 * 255.0.0.0 U lo
default 213.236.176.117 0.0.0.0 UG eth1

Als Fleissaufgabe gibts noch was. Wir haben eine Homepage, die auf der Adresse 213.236.244.66 liegt. Die soll zu einem Webserver weitergeleitet werden, der auf 192.168.1.4 liegt.

Alles klar?

Fleisaufgabe:

Wenn der Server ausserhalb vom Netzwerk steht, kannst du auf die IP 192.168.. nicht weiterleiten.
Steht der Server im Netzwerk gibt es ein paar Möglichkeiten.
Redirekt in der httpd.conf vom Apache.
HTML Redirect mit dem Reloadtag
oder auch mit Perl und PHP.

Routingtabelle: Bin mir nicht sicher ob die stimmt.
Denke aber schon :)

Sloter

Hi!

Bin zwar kein Profi aber,

ad 1.)

Sollte passen! http://vartel.com/255.255.255.252.htm
von der Subnetmask her ein point to point partner
d.h vier Adressen:
eine fürs Netz 213.236.176.116
ein broadcast: 213.236.176.119
zwei IPs: 213.236.176.117 & 213.236.176.118

ad 2.)

kannst natürlich nicht direkt umleiten, dem Router/Firewallrechnet mittels NAT erledigen lassen.
Punkto Umsetzung, auf Profiantwort warten :)

Grüße

Manx

Würd dir empfehlen, die Mandrake Firewall wieder zu entfernen, und dafür smoothwall www.smoothwall.org raufzutun. Weiß nicht, ob sie so "sicher" wie die Mandrake Firewall ist, jedoch braucht sie weit weniger Ressourcen und ist sehr einfach zu konfigurieren.

Bei smoothwall wird die ganze Sache so angepackt, daß du eine dritte NIC in den Firewall-Rechner reintust, die bei smoothwall "yellow nic" genannt wird, also halbwegssicher, und mit dem Webserver verbindest. Genaueres kann ich dir dazu nicht sagen :D , aber schau dir mal die Docs auf der oben genannten Seite an. Vielleicht ist smoothwall was für dich.

Gruß

Sollte die destination ip von der default route nicht 0.0.0.0 statt 213.236.176.117 sein?

Re: Netmask, Routing
 

warum, ist doch eigentlich ganz klar:

1. zeile
dein provider betreibt subnetting, wie sich unschwer an der netzmaske erkennen läßt. 255.255.255.252 bedeutet, daß die class c-adresse 213.236.176.x in 64 netze zu je 2 hosts aufgeteilt ist. so stellt die adresse 213.236.176.116 ein netz mit den beiden hosts (genauer mit den nics) 213.236.176.117 und 213.236.176.118 dar. diese art der aufteilung wird von providern häufiger angewendet, wenn feste adressnummern vergeben werden. 1 router beim provider, 1 router beim kunden, genau wie die konfiguration die du geschildert hast.

die erst zeile bedeutet folglich:
alle ip-pakete die das netz 213.236.176.116 zum ziel haben (also 213.236.176.117 oder 213.236.176.118) werden über eth1 geschickt.

da 213.236.176.117 als default eingerichtet ist, folgt daraus: alle pakete mit nummern, die nicht zu den netzen 213.236.176.116 oder 192.168.1.0 gehören (also alle internetadressen), werden zum provider (213.236.176.117) geschickt, und zwar über eth1.

bevor du mit iptables einen firewall einrichtest, solltest du dir über eines klar sein: iptables ist nur ein paketfilter, heißt inhalte von webseiten und/oder download dateien können mit iptables nicht überprüft werden.

bevor du die regeln für den firewall aufstellst, solltest du das nat (masquerading) einrichten, dann weißt du auch, ob alles richtig abläuft.
funzt dein nat? wenn nicht, mit welchen befehlssequenzen richtest du es ein?

greetz
artemisias

Ich moechte mich einmal ganz herzlich fuer die Antworten bedanken, die meisten waren ziemlich hilfreich.

Zur Zeit werden wir wahrscheinlich den Vorschlag aufgreifen und Smoothwall installieren. Ich war auf der Webseite und wahrscheinlich passt es genau fuer unseren Zweck.

Aber auch die Erklaerungen zu den Eintraegen in der Routing-Tabelle waren sehr hilfreich.

Vielen Dank!