ADSL Zugang mit RedHat 7.x ,für Alcatel NICversion Sharing &Firewall,1.Kapitel

[Excalibur33]

Erst die Systemeinstellung überprüfen:
Notwendig sind IP-tables und die Protokollepp und pptp:
Es wird für das Alcatel Modem benötigt!!
Letzteres kann man als fertiges Script herunterladen:
http://howto.htlw16.ac.at/AT-HIGHSPEED-HOWTO.html
Das FERTIGKOMP. Script auswählen,(fürs neue Alcatel ist es in der 3. Zeile im Abschnitt 2.6) in den Ordner /usr/sbin/ kopieren.

Eingabe: lsmod
wenn hiebei nix kommt,als Module... Size....Used by, dann gehe zu Kapitel 2:
Ansonsten HIER weiter machen:

Jetzt am leichtesten mit dem MidnightCommander arbeiten:
Aufruf durch: mc
Damit lassen sich Dateien leicht bearbeiten,kopieren und verschieben.

Trage in in die Datei /etc/hosts einen Hostnamen für das ADSL-Modem ein:

10.0.0.138 alcatel

In der Datei "resolv.conf"(ist in /etc/) sind die Nameserveradressen einzutragen.
Für UTA siehe Beispiel >
--------------------------

nameserver 195.70.224.61
nameserver 195.70.224.62

In /etc/ppp/options sollte folgendes eingetragen sein:


noipdefault
name "<username>"
noauth
defaultroute
lcp-echo-failure 10
lcp-echo-interval 10

dann in den pap-secrets (sind in /etc/ppp/) eintragen so wie geschrieben mit""
"Name@utadsl" oder wenn vorher Account bestand: !"Name@uta1002.at@utadsl"
in der gleichen Zeile 5 Leerzeichen,danach * Passwort
mc jetzt beenden mit F10 und eingeben:
linuxconf
Netzwerk > Standards
Jetzt WICHTIG! NIC für Internet soll eth0 sein: IPAdresse eingeben:
10.0.0.140
subnetmask:255.255.255.0
Fürs LAN 2. NIC:eth1
192.168.0.101
subnetmask:255.255.255.0
falls nötig, korrigieren!
Beenden mit speichern.
Anschliessend mit DER Eingabe das Netzwerk neu starten:
/etc/rc.d/init.d/network restart
Nächster Schritt:
Wenn Modem angeschlossen, eingeschaltet und betriebsbereit ist(erkennt man am grünen LED) versuchen, das Modem zu pingen:
ping alcatel
wenn Antwort kommt wie etwa:
64 bytes from 10.0.0.138: icmp_seq=0 ttl=15 time=1.464 ms
64 bytes from 10.0.0.138: icmp_seq=1 ttl=15 time=1.496 ms
ist Modemverbindung OK, ping stoppen mit Tasten STR+C
Jetzt eingeben:
pptp alcatel
Falls Meldung kommt wie :unknown:blabla : Client established
........................unknown:blabla : Connection established
.........................eventuell: discarding out of order
sollte pingen funken:
ping 80.78.228.21 (zum Beispiel)
und es kommt:
64 bytes from 80.78.228.21: icmp_seq=0 ttl=15 time=1.464 ms
stoppen mit STRG+C, hast du Verbindung!!!
Sollte aber Meldung kommen wie: cannot load Modul, oder Kernel needs to be bla bla, jedenfalls nicht die vorher beschriebenen Meldungen dann musst deinem Kernel Module hinzufügen.
Das steht in Kapitel 2:

PS: Bitte jetzt keine dummen Sprüche, sondern falls ich etwas übersehe, bitte um Korrektur!

[K@sperl]

Zitat:

Original geschrieben von Excalibur33

dann in den pap-secrets (sind in /etc/ppp/) eintragen so wie geschrieben mit""
"Name@utadsl" oder wenn vorher Account bestand: !"Name@uta1002.at@utadsl"
in der gleichen Zeile 5 Leerzeichen,danach * Passwort

Es reicht auch ein Leerzeichen, und nicht fünf, der Username wird normalerweise ohne Anführungszeichen eingegeben.
name@provider.com * passwort


Soweit ich weiß, deaktiviert man Einträge mit einem "#" und nicht mit einem Rufzeichen "!".

[Excalibur33]

Als erstes ganz WICHTIG: Alten Kernel sichern:
Geht nur bei Rootanmeldung!
Das geschieht folgendermassen:Genaue Schreibweise beachten
Eingabe:
cp /boot/vmlinuz /boot/vmlinuz.old
danach Eingabe:
cp /boot/System.map /boot/System.map.old
(Damit ist der bestehende Kernel gesichert, und du kannst notfalls dein SYS wieder starten!)
Jetzt die Konfiguration, dazu eingeben:
cd /usr/src/linux
make menuconfig
(Es erscheint eine Oberfläche, ähnlich dem Bios von W9x
darin folgende Optionen,falls noch nicht, aktivieren(Hilfe verwenden, da überall Texte dazu vorhanden sind)
Bei loadable module support: Enable loadable module support
Networking options:die meisten IP sachen (hilfstext lesen)
(M) setzen, damit wird Modul gefertigt, und der Kernel nicht zu gross!
ipchains falls aktiviert, deaktivieren!!!!
Network device support:
hier ppp aktivieren
Ethertap aktivieren
ausserdem bei Ethernet 1000:
ppp_async als (M)
Ausstieg mit Exit und abspeichern!!
Eingabe:
make dep clean bzImage modules modules_install (WICHTIG ist grosses i beim bzImage)
(jetzt zurücklehnen, einen Kaffee oder Zig. dauert ca. 10 -20 min)
wenn fertig und Kommandozeile wieder da:
cp arch/i386/boot/bzImage /boot/vmlinuz
cp System.map /boot/
(Bei Abfrage ob überschrieben soll, mit "y" bestätigen!)
lilo (falls verwendet wird, ist Standardbootmanager)

Danach System mit neuen Kernel starten!

Es folgt Kapitel 3

[Excalibur33]

@Flanders:
Bei UTA erforderlich!!!!

[Excalibur33]

Windowsrechner für das sharing vorbereiten und LAN -Verbindung testen:
IP Adresse sollte sein :192.168.0.x (x= freie Wahl)
Subnetmask:255.255.255.0
Bei den Netzwerkeigenschaften der Windows-rechner > Gateway: IP-adresse vom Linux eingeben: 192.168.0.101
Bei DNS: DNS aktivieren anhaken
Hostname eingeben= Rechnername
Nameserver eintragen,z.B. für UTA
195.70.224.61
195.70.224.62
danach neu starten
Testen der Verbindung zu Linux
Dos eingabeaufforderung: ping 192.168.0.101
Internetexplorer > Eigenschaften > Verbindung: Keine Verbindung anhaken, bei Eigenschaften für LAN alle Häkchen weg
Zum Linux zurück, an der Konsole eingeben:
pptp alcatel (Verbindungsaufbau)
danach eingeben:
/sbin/iptables -A POSTROUTING -t nat -o ppp0 -j MASQUERADE
echo 1>/proc/sys/net/ipv4/ip_forward
jetzt noch pingen vom Windows rechner
ping 192.168.0.101
ping 80.78.228.21
falls ping erfolgreich, steht die Verbindung von beiden Rechnern ins Web.
Wenn nicht Schritte nochmals durchgehen, ob Schreibfehler etc.
Es folgt Kapitel 4: Minifirewall mit Masquerade

PS: Erst morgen, ich bin hundemüde!!

[Excalibur33]

Die FW dient dazu, Angriffe aus dem Web auf den Rechner abzublocken.
1.) 100 % Schutz gibts nur, wenn man den Rechner abdreht, da sind sich selbst die Experten einig, um aber einigermassen Schutz zu haben,ist folgendes Script gedacht, damit kann man ausserdem die Verbindung starten.in weiterer Folge werd ich versuchen, ein Script zu fertigen, das es ermöglicht,den Linux als Proxy -Server einzusetzen im Moment aber werden wir uns mit einem einfachen Script begnügen,das die eingehenden Pakete filtert, sozusagen eine IP -Filter FW.
Kopiere das folgende Script in die Datei: firegate
(Am besten wieder mit: mc)

#! /bin/sh
#Geschrieben von Excalibur
killall pppd
killall pptp
iptables -F
iptables -t nat -F
echo "RESTART"
sleep s 5
/usr/sbin/pptp alcatel
sleep s 5
iptables -A INPUT -i ppp0 -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -N block
iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A block -m state --state NEW -i ! ppp0 -j ACCEPT
iptables -A block -j DROP
iptables -A INPUT -j block
iptables -A FORWARD -j block
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
echo "FIREGATE AKTIV"
#Scriptende


#Zeilen einhalten, jedes Kommando 1 Zeile

Dieses Script mit Namen:firegate ins /bin/ kopieren, und ausführbar machen mit:
chmod 700 firegate

Zum Starten des Scripts eingeben: firegate
zum beenden der Verbindung: killall pppd
..........................: killall pptp

Wenn das Script nach Verbindungstrennung wieder aufgerufen wird, kommt neue Verbindung zustande, danach flushed es die IPtables, und wird aktiv!

PS: Ich hoffe, damit sind auch die Linuxgurus einverstanden, soll nur mal Anfangsschutz sein.

WENN ES EURE ANERKENNUNG FINDET;KÖNNTE MAN ES VIELEICHT FIXIEREN
damit es nicht dauernd gesucht werden muss?
Nächste Kapitel folgen!
mfg Excalibur33

[K@sperl]

Aha, und Policies braucht man nicht?
Die Policies aller chains sind normal auf ACCEPT gesetzt.

Bei so ziemlich allen HowTo's setzt man Policies, obwohl du eh alle anderen Pakete verwirfst ...

[_m3]

Lieber Excalibur!

Lang hats gedauert, aber nun dürftest auch Du das Licht gesehen haben!
Formulierung, etc. ist OK, das script könnte mit start/stop/status etwas eleganter sein, aber bitte - is ja eine erste Version

Nur eins ist mir ein bissi aufgestossen:
Ein "Proxy" ist der Rechern durch Dein Skript ja schon, da Du ja NATest (die Masquerading-Zeile). Die anderen Zeilen beziehen sich auf die Packet-Filtering FW. Ev. solltest Du nochmals die IPTABLES-HowTos lesen, damit Du die Begriffe endgültig auf die Reihe bekommst.
Oder willst Du noch Proxies auf Applikationsebene (squid, ...) einrichten - da ist es aber mit einem Script nicht getan.

Ansonsten sehr schön und fein, dass Du Dir die Kommentare zu Herzen genomen hast, auch wenns macnhmal etwas länger gedauert hat

Ach ja: Die Lektüre des Filesystem Hierarchy Standard (FHS) währe auch empfehlenswert, damit Du weisst, wo welche Scripts, etc. hingehören.

[quaylar]

Wenn du echo-replies auch noch durchlässt kann man von der Box auch pingen...

--qu

[Excalibur33]

@ all:
Vielen Dank für die anerkennenden Worte, dafür, dass ich noch vor 1 Monat nichts von Linux wusste, bin ich mit eurer hilfe schon etwas weiter.Ich hoffe nur, das meine "Kommentare" zwischen den Postings nicht jeder(mann)(frau) sauer aufgestossen sind!
mfg und n schönes Weekend Excalibur33