Debian als Router oder Bridge

[struppi]

Ich brauch ein bisschen Unterstützung damit ich mich nicht verzettele beim suchen, da ich die Begriffe nicht alle kenne und bevor ich zuviel installiere, wollte ich mir erstmal einen Überblick verschaffen.

Mein Ziel ist das von einem uralten WindowsNT Messrechner, der nicht mit dem Internet verbunden werden soll, die Messdaten im Netz kopiert werden sollen können. Der Rechner hat kein USB (soweit ich weiss) daher müssen die Daten bisher immer auf eine CD gebrannt werden, was nicht schön ist.

Meine Idee ein Debianrechner mit zwei Netzwerkkarten als Router wird an's lokale Netz angeschlossen und der NT Rechner stellt über diesen das Messverzeichniss zu Verfügung.

Der (headless) Debianrechner ist bereits konfiguriert und mit der einen Netzwerkkarte im Internet (wurde bisher für kleine Backups genutzt. Und als Spielerei zum testen, wie ich am schnellsten Daten von zu Hause auf die Arbeit kriege), es läuft ssh, rsync, Apache (Webmin), Samba mit einer einfachen Freigabe (https://www.thomas-krenn.com/de/wiki/Ei ... ter_Debian) und ist im lokalen Netzwerk auch erreichbar.

Wie muss ich jetzt vorgehen, damit die beiden Rechner miteinander kommunizieren können und die Daten vom NT Rechner über den Debian Rechner im Netzwerk abrufbar sind?

Die zweite Netzwerkkarte ist noch nicht konfiguriert. Muss diese vor der Einrichtung einer Brücke erst konfiguriert werden oder macht man das bei der Einrichtung einer Brücke?

Bin ich mit der Netzwerkbrücke eigentlich auf dem richtigen Weg oder gäbe es eine einfachere Variante?

[MSfree]

Der Rechner hat kein USB (soweit ich weiss)

Das kann ich kaum glauben. Alles, was ich seit dem Pentium-1 (1996) hatte, hatte auch USB. Allerdings ist Windows-NT nicht gerade dafür bekannt, USB gut zu unterstützen.

Meine Idee ein Debianrechner mit zwei Netzwerkkarten als Router wird an's lokale Netz angeschlossen und der NT Rechner stellt über diesen das Messverzeichniss zu Verfügung.

Der Debianrechner braucht für diesen Zweck weder als Router noch als Bridge konfiguriert zu werden. Es würde reichen, die zweite NIC im Debianrechner in ein eigenes Subnetz zu konfigurieren und Samba zu installieren. Dann gibts du per Samba ein Verzeichnis auf der Debianplatte frei und mountest dieses Verzeichnis mit dem NT-Rechner. In dieses gemountete Laufwerk läßt du die Meßdaten schreiben.

Da der Debianrechenr über die erste Netzwerkkarte ebenfalls die Sambafreigabe verbreitet. kannst du mit jedem beliebigen Rechner aus dem ursprünglichen Subnetz auf die selbe Sambafreigabe zugreifen wie der NT-Rechner.

Der besondere Charme an dieser Lösung ist, daß durch das fehlende Routing bzw Bridging der NT-Rechner keine direkte Verbindung ins Internet bekommt und auch aus dem primären LAN nicht direkt auf den NT-Rechner zugegriffen werden kann und sich so ein gewisser Schutz vor Schadsoftware ergibt.

[struppi]

Nur noch mal zur Klarstellung der Situation: Ich habe nur sehr rudimentäre Netzwerkkenntnisse und wenn ich mich damit beschäftige nur auf Linuxsystemen, daher kenne ich mich mit Windows überhaupt nicht aus und der NT Rechner ist "heilig" und nicht unter meiner vollen Kontrolle. Der darf auf keinen Fall auch nur Ansatzweise in einem Netz erreichbar sein.
Auf dem NT Rechner kann ich nichts installieren.

So ganz verstehe ich deinen Vorschlag nicht.

Der Debianrechner braucht für diesen Zweck weder als Router noch als Bridge konfiguriert zu werden. Es würde reichen, die zweite NIC im Debianrechner in ein eigenes Subnetz zu konfigurieren und Samba zu installieren. Dann gibts du per Samba ein Verzeichnis auf der Debianplatte frei und mountest dieses Verzeichnis mit dem NT-Rechner. In dieses gemountete Laufwerk läßt du die Meßdaten schreiben.

Wie konfiguriere ich ein zweites Subnetz? Samba ist bereits installiert und ein Verzeichnis freigegeben.

Das Meßprogramm kann ich nicht konfigurieren (wie gesagt "heilig"), aber wenn ich auf dem NT Rechner dieses Verzeichnis nutzen kann, wäre ich einen Schritt weiter.

Im Moment hänge noch an der Konfiguration des Subnetz wie kann ich die Rechner verbinden?

[MSfree]

der NT Rechner ist "heilig" und nicht unter meiner vollen Kontrolle. Der darf auf keinen Fall auch nur Ansatzweise in einem Netz erreichbar sein.

Naja, dann darfst du die NT-Kiste auch nicht mit einem Netzwerk verkabeln. Schon die Vernetzung mit einem Linuxrechner wäre ja schon eine Verletzung der "obersten Direktive".

Das Meßprogramm kann ich nicht konfigurieren (wie gesagt "heilig"), aber wenn ich auf dem NT Rechner dieses Verzeichnis nutzen kann, wäre ich einen Schritt weiter.

OK.

Die Meßdaten werden ja irgendwo auf der Windowsplatte auflaufen. Wenn du das Ziel nicht konfigurieren kannst/darfst, muß das eben so bleiben. Statt eine CD zu brennen, mußt du dann halt die gesammelten Daten von Hand (mit dem Windows-Explorer) auf das Samba-Share kopieren.

Wie konfiguriere ich ein zweites Subnetz?

Im einfachsten Fall gibts du der zweiten Netzwerkkarte im Linuxrechner einfach eine statische IP-Adresse und zwar so, daß sie nicht im Subnetz der ersten Netzwerkkarte liegt. Wenn dein erstes Subnetz z.B. so aussieht:

IP 192.168.1.0/24, Netmask 255.255.255.0

Dann kannst du der zweiten Netzwerkkarte die IP-Adresse 192.168.2.1 mit Netmask 255.255.255.0 geben.

Dem NT-Rechner vergibts du ein statische IP-Adresse 192.168.2.2 mit Netmask 255.255.255.0 und verkabelst ihn entsprechend mit dem Linuxrechner.

Danach sollte im Windowsexplorer die Sambafreigabe sofort erreichbar sein, wenn du in die Adresszeile
\\192.168.2.1\Freigabename eingibts.

[struppi]

Windows ist voller Geheimnisse. Es war alles ganz einfach. (genau wie du es schreibst)

Auf dem Debianrechner eth1 mit einer statischen IP konfiguriert. Der Windows Adapter ebenfalls (in meinem Fall 192.168.0.1 und 192.168.0.2 mask: 255.255.255.0)

Nach dem zweiten Neustart oder so war der Debian auf dem Windowsrechner sichtbar und die Freigabe auch.

Was mich noch etwas kribbelt, die Freigabe ist für jedermann auch schreibbar, abgesehen vom Speicherplatz ist eine Freigabe aber sicher?

[MSfree]

Was mich noch etwas kribbelt, die Freigabe ist für jedermann auch schreibbar, abgesehen vom Speicherplatz ist eine Freigabe aber sicher?

So eine Freigabe muß man ja nicht zwangsläufig für jedermann schreibbar einrichten.
Ansonsten ist auf der Freigabe ja nur eine Kopie der Meßdaten vorhanden, was hat man da schon zu verlieren?

Netzwerktechnisch komst du jedenfalls nicht direkt vom LAN in das Subnetz, in dem der NT-Rechner steht.

Es besteht natürlich die Gefahr, daß jemand den Linuxrechner knackt und sich dort einlogt. Von dem Linuxrechner könnte er dann den NT-Rechner knacken. Die Sambafreigabe könnte dabei helfen, wenn im Sambaserver Sicherheitslücken wären, die ein Angreifer ausnutzen kann.

Du kannst den NT-Rechner natürlich schützen, in dem du das Netzwerkkabel nur bei Bedarf anhängst.

[struppi]

Was mich noch etwas kribbelt, die Freigabe ist für jedermann auch schreibbar, abgesehen vom Speicherplatz ist eine Freigabe aber sicher?

So eine Freigabe muß man ja nicht zwangsläufig für jedermann schreibbar einrichten.
Ansonsten ist auf der Freigabe ja nur eine Kopie der Meßdaten vorhanden, was hat man da schon zu verlieren?

Gut erkannt. Nichts!

Netzwerktechnisch komst du jedenfalls nicht direkt vom LAN in das Subnetz, in dem der NT-Rechner steht.

Es besteht natürlich die Gefahr, daß jemand den Linuxrechner knackt und sich dort einlogt. Von dem Linuxrechner könnte er dann den NT-Rechner knacken. Die Sambafreigabe könnte dabei helfen, wenn im Sambaserver Sicherheitslücken wären, die ein Angreifer ausnutzen kann.

Ja danke, so hab ich mir das vorgestellt. Mich überfordert diese ganze Sambageschichte etwas, daher weiss ich nicht welche Möglichkeiten es potentiell gibt, dass ich mir selbst in's Bein schiesse.

Ich muss das mal beobachten.

Eine Trennung bzw. unterschiedliche Zugriff der zwei Netzwerke wäre eigentlich sinnvoll, da die externen Rechner nicht unbedingt auf die Freigabe schreiben können muss, das sollte nur der interne NT Rechner dürfen. Aber so wie ich das bisher sehe, geht das mit Samba nicht, oder?

[MSfree]

Eine Trennung bzw. unterschiedliche Zugriff der zwei Netzwerke wäre eigentlich sinnvoll, da die externen Rechner nicht unbedingt auf die Freigabe schreiben können muss, das sollte nur der interne NT Rechner dürfen. Aber so wie ich das bisher sehe, geht das mit Samba nicht, oder?

Das kann man über Benutzerrechte steuern. Angemeldete Benutzer dürfen schreiben, alle anderen bekommen nur Gastrechte. Was der Gast darf, kann man in Samba gesondert einstellen, von "darf alles" bis "darf nur lesen" ist da im Grunde alles möglich.

[struppi]

Eine Trennung bzw. unterschiedliche Zugriff der zwei Netzwerke wäre eigentlich sinnvoll, da die externen Rechner nicht unbedingt auf die Freigabe schreiben können muss, das sollte nur der interne NT Rechner dürfen. Aber so wie ich das bisher sehe, geht das mit Samba nicht, oder?

Das kann man über Benutzerrechte steuern. Angemeldete Benutzer dürfen schreiben, alle anderen bekommen nur Gastrechte. Was der Gast darf, kann man in Samba gesondert einstellen, von "darf alles" bis "darf nur lesen" ist da im Grunde alles möglich.

Da geht es schon los weshalb ich so ein Bammel vor Samba habe. Ich verstehe die ganze Nutzerverwaltung nicht und bin hier im lokalen Netzwerk auch nicht involviert. Ich habe nur Zugriff auf die zwei Rechner, das Netzwerk an sich ist nicht unter meiner Kontrolle.

Theoretisch wäre es wohl das einfachste den NT Rechner irgendwie als Nutzer der alles darf einzurichten und alle anderen haben nur Leserechte. Dazu müsste ich aber auf dem Messrechner erstmal rumfriemeln und ich kenn mich mit NT so gar nicht aus und der Rechner steht im Keller und darf auf keinen Fall ausfallen (ich teste das ganze mit einem anderen Windows7 Rechner)

Ich denke mal ich nehm den Holzhammer und lösche einfach jedesmal das Verzeichnis beim Rechnerstart.

[BenutzerGa4gooPh]

Da geht es schon los weshalb ich so ein Bammel vor Samba habe. Ich verstehe die ganze Nutzerverwaltung nicht und bin hier im lokalen Netzwerk auch nicht involviert. Ich habe nur Zugriff auf die zwei Rechner, das Netzwerk an sich ist nicht unter meiner Kontrolle.

Nimm doch was anderes, ftp/ftps: https://de.wikipedia.org/wiki/FTP_%C3%BCber_SSL
Einen FTP(S)-Server auf der "Heiligen Kuh" (NT-Büchse) kannst/darfst du vlt. installieren?
Irgendwer hier wird schon Windows-Beratung machen ...

[struppi]

Der Rechner ist nicht mit dem Netz verbunden. Deshalb ist ja der Debianrechner dazwischen.

[BenutzerGa4gooPh]

ftps zwischen NT- und Debian-Rechner? Du wolltest doch kein Samba ...

Noch eine unausgegorene Idee ... wenn ich mich mal an alte Zeiten erinnere: 2 ISDN-Router mir Rückruf der NT-Büchse? Langsam aber sicher und weltweite Punkt-zu-Punkt-Verbindung möglich. Verbindung nur bei Bedarf (Initiierung durch Wählverbindung vom datenholenden Rechner, daraufhin Rückruf an voreingestellte Telefonnummer vom Messcomputer). Weiß nicht, um welche Datenmengen es sich handelt. Sind sicher nur CSV-Dateien (ASCII) ...
ftps ist weitaus eleganter und schneller und zeitgemäß.

[MSfree]

Da geht es schon los weshalb ich so ein Bammel vor Samba habe. Ich verstehe die ganze Nutzerverwaltung nicht und bin hier im lokalen Netzwerk auch nicht involviert.

Das ist im Grunde wirklich extrem einfach.

Lege einen neuen Nutzer unter Linux an, z.B. mit

Code: Alles auswählen

useradd NTuser

gib ihm ein Sambapaßwort mit

Code: Alles auswählen

smbpasswd -U NTuser

Theoretisch wäre es wohl das einfachste den NT Rechner irgendwie als Nutzer der alles darf einzurichten und alle anderen haben nur Leserechte.

Wer welche Rechte bekommt, kannst du im Dateisystem unter Linux festlegen. Wenn du im freigegebenen Verzeichnis unter Linux die Schreibrechte für alle ausser NTuser entziehst, ist die Sache schon erledigt:

Code: Alles auswählen

cd /Freigabe # wechselt ins Freigabeverzeichnis auf dem Linuxrechner
chown NTuser -R * # ändert den Dateibesitz auf NTuser
chmod -R u+w * # ändert das Schreiberecht für NTuser
chmod -R go-w * # entzieht das Schreiberecht füralle anderen

ACHTUNG: die Befehle arbeiten Rekursiv und dürfen auf gar keinen Fall im Wurzelverzeichnis ausgeführt werden!
Du mußt unbedingt in das Freigabeverzeichnis wechseln, "Freigabe" ist hier nur als Beispiel gedacht, also nicht wortwörtlich so ausführen, das geht schief.

[struppi]

So, jetzt sind die Rechner verbunden.

Ich hab jetzt grob diese Situation:

-> 192.168.0.100 = NT Rechner
|
-> 192.168.0.1 / eth1
= Debian m. Samba Freigabe
-> x.x.x.x / eth0
|
-> lokales (windows) Netzwerk --> Internet

Die Freigabe ist im lokalen Netzwerk erreichbar und auch der NT Rechner kann dieses Verzeichnis nutzen.

Ein Problem habe ich noch. Auf dem NT Rechner sieht man plötzlich andere Rechner des lokalen Netzwerk (allerdings nur des Subnetz - die Rechner stehen in verschiedenen Gebäude und diese sind getrennt, der Debian Rechner hat eine IP die auf dem gesamten Gelände erreichbar ist)).

Das verunsichert mich etwas, ist dadurch auch der umgekehrte Weg möglich?
Ist also der NT Rechner auf irgendeine Art und Weise erreichbar, fungiert der Debian Rechner als Brücke oder Router?
Wenn ja, wo müsste ich ansetzen, um diese Verbindung zu kappen?

Nachtrag:

ftps zwischen NT- und Debian-Rechner? Du wolltest doch kein Samba ...
[...]
Weiß nicht, um welche Datenmengen es sich handelt. Sind sicher nur CSV-Dateien (ASCII) ...
ftps ist weitaus eleganter und schneller und zeitgemäß.

Doch ich will Samba, weil das ist da und wird betreut.

Nein, die Datenmengen sind gross (u.U. GB)

Da geht es schon los weshalb ich so ein Bammel vor Samba habe. Ich verstehe die ganze Nutzerverwaltung nicht und bin hier im lokalen Netzwerk auch nicht involviert.

Das ist im Grunde wirklich extrem einfach.

Lege einen neuen Nutzer unter Linux an, z.B. mit

Code: Alles auswählen

useradd NTuser

gib ihm ein Sambapaßwort mit

Code: Alles auswählen

smbpasswd -U NTuser

Theoretisch wäre es wohl das einfachste den NT Rechner irgendwie als Nutzer der alles darf einzurichten und alle anderen haben nur Leserechte.

Damit komme ich nicht klar.

Ich habe, wie gesagt, keinerlei Adminrechte im Windowssystem.

Ich kann natürlich lokal Nutzer einrichten, aber der NT Rechner ist nicht in der Domain. Insofern weiss ich nicht, wie ich deinen Vorschlag umsetzen könnte. Da es den "NTuser" an sich nicht gibt. Bzw. bin ich mit NT so gar nicht vertraut und weiss nicht, wie ich dort Werkzeuge benutze, die mir die nötigen Infos geben.

[uname]

Windows NT (Version 4.0) ist ja schon lange her. Trage in der Netzwerkkonfiguration von Windows NT folgendes ein:

Code: Alles auswählen

IP-Adresse: 192.168.0.100
Subnet-Mask: 255.255.255.0
Standard-Gateway: leer lassen

Evtl. musst du booten

Ohne Standard-Gateway wird der Windows NT - Rechner keinen Weg in andere Netze finden. Ich gehe davon aus, dass du für das interne Netz (eth0 bei Debian) ein anderes Subnetz und zum Transport Routing verwendest. Schau dir evtl. die Routing-Tabellen auf deinem Debian-Rechner an.

Code: Alles auswählen

route

Gerne kannst du auch mal die Routing-Tabellen deines Windows NT oder auch den Patchstand posten.

[struppi]

Windows NT ist ja schon lange her. Trage in der Netzwerkkonfiguration von Windows NT folgendes ein:

Code: Alles auswählen

IP-Adresse: 192.168.0.100
Subnet-Mask: 255.255.255.0
Standard-Gateway: leer lassen

Evtl. musst du booten

Exakt so ist es eingetragen. (Wobei? Ich gehe noch mal rüber ...)

Ohne Standard-Gateway wird der Windows NT - Rechner keinen Weg in andere Netze finde. Ich gehe davon aus, dass du für das interne Netz (eth0 bei Debian) ein anderes Subnetz und zum Transport Routing verwendest. Schau dir evtl. die Routing-Tabellen auf deinem Debian-Rechner an.

Code: Alles auswählen

route

Damit bekomme ich das Ergebnis

Code: Alles auswählen

Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
default         g2413--150-1.xx 0.0.0.0         UG    0      0        0 eth0
xxx.xx.136.0    *               255.255.254.0   U     0      0        0 eth0
192.168.0.0     *               255.255.255.0   U     0      0        0 eth1

[uname]

Erkläre vielleicht genauer das Problem:

Auf dem NT Rechner sieht man plötzlich andere Rechner des lokalen Netzwerk (allerdings nur des Subnetz - die Rechner stehen in verschiedenen Gebäude und diese sind getrennt, der Debian Rechner hat eine IP die auf dem gesamten Gelände erreichbar ist)).

Welches Subnetz? 192.168.0.0/24? Das wäre ja auch vielleicht noch denkbar. Ist vielleicht Masquerading/NAT aktiviert als weitere Möglichkeit?

[struppi]

Erkläre vielleicht genauer das Problem:

Auf dem NT Rechner sieht man plötzlich andere Rechner des lokalen Netzwerk (allerdings nur des Subnetz - die Rechner stehen in verschiedenen Gebäude und diese sind getrennt, der Debian Rechner hat eine IP die auf dem gesamten Gelände erreichbar ist)).

Welches Subnetz? 192.168.0.0/24? Das wäre ja auch vielleicht noch denkbar. Ist vielleicht Masquerading/NAT aktiviert als weitere Möglichkeit?

Nein, der Debian Rechner ist über eine IP vermutlich auch von ausserhalb erreichbar. Das "Subnetz" ist die zweite Karte und der NT Rechner. (Die Einstellng auf dem NT Recher ist exakt so wie du es vorgeschlagen hast).

Auf dem NT Rechner sehe ich die Rechner des Gebäude, auf die ich aber keine Zugriffsrechte habe. Daher frage ich mich, ob es dann automatisch auch einen umgekehrten Weg gibt?

Nachtrag: Wegen dem Masquerading, ich vermute ja, sowas müsste aktiv sein, da die Rechner innerhalb und ausserhalb erreichbar sind. bzw. es kann auch sein, dass die Debian IP eine echte weltweite IP ist.

[struppi]

Code: Alles auswählen

Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
default         g2413--150-1.xx 0.0.0.0         UG    0      0        0 eth0
xxx.xx.136.0    *               255.255.254.0   U     0      0        0 eth0
192.168.0.0     *               255.255.255.0   U     0      0        0 eth1

Jetzt muss ich noch mal Nachhaken.

Der NT Rechner mit einer festen IP (192.168.0.10.) hängt an eth1 (über ein Switch) an dem Debianrechner. Dieser hat über eth0 Kontakt mit der Aussenwelt.

Der NT Rechner soll nur auf den Debainrechner zugreifen können. Zur Zeit ist es aber so, dass durch einen mir nicht einleuchtenden Mechanismus der NT Rechner einige Freigaben sieht. D.h. aus irgendeinem Grund leitet der Debianrechner Freigaben weiter.

Leider kann ich nicht prüfen, ob das umgekehrt (Zugriff auf den NT Rechner) geht, da ich in dem Gebäude keine Privilegien habe und die dortigen Rechnerfreigaben nicht sehen kann.

Das ist aber das durch diesen Aufbau erreicht werden soll.

Wie kann ich die Netzwerke der beiden Karten so trennen, dass von eth0 kein Zugriff auf eth1 und vice versa möglich ist? Geht das überhaupt?

[struppi]

Damit andere mit ähnlichen Problemen auch eine Lösung finden.

So wie es aussah war das ip4 forwarding aktiviert. Der aktuelle Status läßt sich so ermitteln:

Code: Alles auswählen

root@pc03-175:/# cat /proc/sys/net/ipv4/ip_forward
0

(0 heisst die Funktion ist deaktiviert)

Falls es aktiviert ist, läßt es sich so deaktivieren.

Bearbeiten von /etc/sysctl.conf

Code: Alles auswählen

net.ipv4.ip_forward = 0

und den network service neustarten

Code: Alles auswählen

 service network restart

Dann gibt es nachfolgend noch weitere Probleme.

Der Rechner der jetzt keinen Zugriff mehr auf das Windows Netzwerk hat sendet permanente Anfragen an den Debian Rechner. Diese fluten das syslog in dieser Form:

Code: Alles auswählen

 May 22 15:03:47 pc03-175 nmbd[964]:   process_name_refresh_request: unicast name registration request received for name GROUP<00> from IP 192.168.0.100 on subnet UNICAST_SUBNET.

Bzw.

Code: Alles auswählen

May 23 09:03:04 pc03-175 nmbd[962]:   Unable to find the Domain Master Browser name GROUP<1b> for the workgroup GROUP.

Das läßt sich abschalten, in dem der Samba Dienst antwortet. Dazu wird folgender Wert im Abschnitt [global] von /etc/samba/smb.conf eingetragen:

Code: Alles auswählen

wins support = yes
domain master = yes

Das hat den Seiteneffekt, dass nun der Debianrechner "domain master browser" und "local master browser" für die workgroup GROUP auch auf der globalen Seite ist. Für die Funktion hat das aber (bisher) keine Auswirkungen.