internes netzwerk problem ping+dsl nutzung zweitrechner

[loddar]

2 pcs sind mit crossoverkabel verbunden (u.a. je debian sarge):

hauptrechner:
eth1 Link encap:Ethernet HWaddr 00:00:1C:DB:DF:D2 ->crossoverkabel
inet addr:192.168.178.10 Bcast:192.168.178.255 Mask:255.255.255.0

mc -e /etc/network/interfaces:
iface eth1 inet static
address 192.168.178.10
network 192.168.178.0
netmask 255.255.255.0
broadcast 192.168.178.255

eth0 -> dhcp --> dsl-router/ip: 192.168.178.1: alles o.k.

zweitrechner: statische ip, siehe unten
eth0 usw. -> crossoverkabel
inet addr:192.168.178.11 Bcast:192.168.178.255 Mask:255.255.255.0
mc -e /etc/network/interfaces:
iface eth0 inet static
address 192.168.178.11
network 192.168.178.0
broadcast 192.168.178.255
netmask 255.255.255.0
gateway ??? statische ip hauptrechner oder ip dsl-router???

gegenseitiger ping auf anderen rechner: unknown host (auch bei deaktivierter firewall bzw. ip-freigabe auf hauptrechner für zweitrechner.
wie kann ich auf zweitrechner dsl vom hauptrechner mitnutzen?

[DynaBlaster]

Dadurch daß eth0 und eth1 deines Hauptrechners beide im Netz 192.168.178.0/24 liegen (eth0 per DHCP, eth1 statisch), ist die Routingtabelle auf deinem Hauptrechner vermurkst.

Dein hauptrechner versucht wahrscheinlich immer, alle Rechner im Netz 192.168.178.0/24 über eth0 zu erreichen: erster Eintrag der Routingtablelle.

Änder mal das Netz für die Crossover-Verbindung.

Was das Mitbenutzen der DSL-Verbindung des Hauptrechners durch den Zweitrechner angeht. Es sollte reichen, wenn du IP-Forwarding auf dem Hauptrechner einschaltest:

Code: Alles auswählen

echo "1" > /proc/sys/net/ipv4/ip_forward

Allerdings muss dein DSL-Router dann auch die Konfiguration seiner Routingtabelle zulassen und du musst ihn so konfigurieren, daß er Pakete an die IP des Zweitrechners nicht über sein Standardgateway (also ins Internet) schickt, sondern an die IP-Adresse von eth0 des Hauptrechners. Sonst finden die Pakete den Weg nicht zurück zum Zweitrechner.

Letzte Möglichkeit ist selbstverständlich, die Pakete vom Zweitrechner auf dem Hauptrechner zu maskieren (NAT). Dein DSL-Router denkt dann, die Pakete kämen vom Hauptrechner und sendet seine Antworten auch an diesen zurück und dieser leitet sie dann weiter.

Die entsprechenden iptables-Befehle sähen dann in etwa so aus:

Code: Alles auswählen

iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
iptables -A POSTROUTING -t nat -o eth0 -j MASQUERADE

[loddar]

@DynaBlaster

interne ips geändert für crossover-verbindung: o.k. die kisten sind gegenseitig anzupingen.

dsl-mitnutzung über nat mach ich gerade+geb dann bescheid obs läuft.
frage: iptables-befehle auf dem hauptrechner ausführen?

[DynaBlaster]

Jap, die iptables-Befehle musst du auf dem Hauptrechner ausführen.

Die ersten beiden brauchst du nur, wenn die Default-Policy der Forward-Chain auf Drop steht (sollte eigentlich nur der Fall sein, wenn du Firewall-mässig irgendetwas gemacht hast)

Das ganze kannst du dir mittels

Code: Alles auswählen

iptables -L -n

anzeigen lassen.

[loddar]

http://nopaste.debianforum.de/470

auch wenn firewall deaktiviert baut zweitrechner keine websites usw. auf trotz eingabe deines 3zeiligen haikus.

EDIT: iptables nach nopaste verschoben - blackm

[DynaBlaster]

Hm,

was sagt:

Code: Alles auswählen

cat /proc/sys/net/ipv4/ip_forward

evtl. ist da auch ein Syntaxfehler meinserseits drin: was sagt:

Code: Alles auswählen

iptables -t nat -L -n

nachdem du "iptables -A POSTROUTING -t nat -o eth0 -j MASQUERADE" eingegeben hast.
Ok, der Zweitrechner baut keine Webseiten auf; kann er denn die DSL-Router-IP pingen (192.168.178.1 ??)?
Evtl. hapert es ja noch an der Nameauflösung (DNS-Server).

[loddar]

[/code]kahuna:~# cat /proc/sys/net/ipv4/ip_forward
1

kahuna:/# iptables -A POSTROUTING -t nat -o eth0 -j MASQUERADE
kahuna:/# iptables -t nat -L -n
Chain PREROUTING (policy ACCEPT)
target prot opt source destination

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
[/code]

dsl-router nicht anpingbar -->network unreachable

[DynaBlaster]

Argh, manchmal sieht man den Wald vor lauter Bäumen nicht

gateway ??? statische ip hauptrechner oder ip dsl-router???

Trag auf dem Zweitrecher als Gateway mal die statische IP des Hauptrechners ein (die IP von eth1, also dem Crossover-Netz).

[loddar]

dsl-router ist anpingbar.
websites+mails: no

[loddar]

/etc/network/options ->ip_forwarding auf yes mal gestellt funzt aber auch net.

[DynaBlaster]

So langsam geht es also voran !

Mail, Surfen etc. geht also noch nicht. Evtl. das bereits erwähnte DNS-Problem. Kannst du denn Internet-Rechner über ihre IP anpingen (also nicht über ihre url) ?

Wie sieht /etc/resolv.conf aus ? Übernimm mal die Einträge dieser Datei (vom Hauptrechner) auf den Zweitrechner.

[loddar]

whois zdf.de --> 80.242.180.1 -->ping o.k -->vom zweitrechner aus

hauptrechner: mc -e /etc/resolv.conf --> nameserver 127.0.0.1 und nameserver 192.168.178.1 (dsl-router)

resolv. conf auf zweitrechner analog ausgefüllt (war komplett leer)

Ergebnis: ---> mail+internet funzt jetzte auch auf dem zweitrechner!!

DU hast Dir ein oder auch mehrere Biere heute verdient (sofern du so was trinkst)

Many thanks for your help!

[DynaBlaster]

Bier trinken ? Aber selbstverständlich

freut mich, daß es jetzt klappt wie es soll. Ich habe vor ein paar Tagen ein ähnliches Szenario bei mir gebastelt. Mittels Modem wählt sich ein Client auf einen Debianrechner ein. Der Client an dieser "temporären" Netzwerkverbindung sollte dann den DSL-Zugang, auf den der Debianrechner Zugriff hat, nutzen können. Und da reichte ein einfaches Aktivieren von IP-Forwarding auch nicht. Der DSL-Router fand den Weg nämlich auch nicht zurück. Deshalb auch der "Umweg" über Masquerading (NAT).

[loddar]

@DynaBlaster

1 kleines problemchen hab ich jetzt: wenn ich die firewall aktiviere geht auf beide rechner weder internet, mail usw.
in dieser ist (auch) ein angepasstes portforwarding zu zweitrechner drinn, also nur explizite portfreigabe+ dass zweitrechner alles darf.

außerdem dauerts extrem lang beim shutdown unter stopping domain name service:named

[DynaBlaster]

Was den DNS-Server named angeht: den würde ich auf dem Zweitrechner deinstallieren bzw. deaktivieren. Den brauchst du nicht unbedingt. Wenn du von Zweitrechner bzw. Hauptrechner nicht über die IP-Adressen pingen willst, sondern über deren Hostnamen, ist imho die Anpassung von /etc/hosts (auf beiden Rechnern) der wesentlich schnellere und einfachere Weg.

Was die Firewallgeschichte angeht. Poste dein Script mal hier: http://nopaste.debianforum.de/ und verlinke das dann hier. Mal sehen ob wir dem nicht auf die Schliche kommen.

Im Grunde ist es ganz einfach:
Hauptrechner:

Code: Alles auswählen

Zweitrechner ------------- Hauptrechner --------------- DSL-Router
         eth0             eth1      eth0

iptables kennt 3 Zustände:
INPUT: Das sind Pakete, die an den Router selbst gerichtet, also Pakete die vom Router kommen und nach eth0 gehen sollen. Oder eben auch vom Zweitrechner an eth1 geschickt werden, z.B. wenn hier ein lokaler Webserver läuft.
OUTPUT: Das ist alles was der Rechner selbst rausschickt. Auch hier muss es für den Rechner zwei Regelsätze geben, einer der ihm sagt, wie er mit Traffic umgehen soll, der über eth0 den Rechner verlässt - und einen, der das ganze für eth1 definiert.
FORWARD: Hier nun schließlich behandelt iptables Pakete, die "durch den Rechner durch" gehen. Wenn also ein Paket vom Zweitrechner an eth1 ankommt und nicht für den Hauptrechner bestimmt ist, dafür aber für den DSL-Router. Dann landet das Paket hier.

iptables -t nat -A POSTROUTING ... bzw. PREROUTING sind dann zuständig für Masquerading und Port-Forwarding.

[loddar]

<an die stirne schlag> wie deaktiviere ich dienste (hier dns) nochmal ? -->/etc/rc.d ....?

[loddar]

@DynaBlaster


http://nopaste.debianforum.de/471 -->firewall skript

<an die stirn schlag> wie deaktiviere ich dienste (hier dns): /etc/rc.d...dns stop ?


[/url]

[DynaBlaster]

Hi,

sorry, aber ich bin gerade viel unterwegs, gutes Wetter halt und da verbringe ich die Zeit halt häufig auf den Fussballplätzen meiner Stadt

Dein Firewall-Script habe ich mir angeschaut, aber es ist arg unübersichtlich - und das denken auch wohl einige andere, denn sonst hättest du bereits die ein oder andere Antwort bzw. Hilfestellung.

Probier mal, das Script vom Link unten an deine Bedürfnisse anzupassen:
http://www.debianforum.de/wiki/?page=in ... bianmanier

ppp0 aus dem Script ist eth1 bei dir.

Was das Deaktivieren der Dienste angeht. Lösche einfach den entsprechenden Symlink aus deinem rc?.d-Verzeichnis bzw. benenne ihn um.

Oder deinstallier den DNS-Server mittels apt-get remove ....

[DynaBlaster]

So, habe mir das noch einmal angeschaut. Mit der Konfigurationsdatei minifre (Minifirewall?) kommt man nicht weiter.

Mein Vorschlag wäre die Deinstallation dieses Paketes. Stattdessen benutz du das Script hier:
http://nopaste.debianforum.de/479

Einfach runterladen, nach /etc/init.d/ kopieren, für Root ausführbar machen und dann Symlinks im Verzeichnis /etc/rc2.d/ bzw. /etc/rc3.d/ (wenn der hauptrechner mit grafischer Oberfläche bootet) erstellen. Dann sollte die Firewall beim Systemstart geladen werden.

[Savar]

... und dann Symlinks im Verzeichnis /etc/rc2.d/ bzw. /etc/rc3.d/ (wenn der hauptrechner mit grafischer Oberfläche bootet)

das ist bei Debian eine Soße... er startet immer im Runlevel 2 .. egal ob mit oder ohne Grafik

[loddar]

dein firewall script schaut nicht schlecht aus. es muss halt gewährleistet sein, dass auch die 4-er ports (vgl. minifirescript) offen sind wegen amule.

dein script ist, soweit ich das sehe bereits auf meine beiden rechner "zugeschnitten"?

wenn dem so ist, werd ichs verwenden.

minifire war 1 .tar und lässt sich damit ja nicht entfernen; da es nicht automatisch startet sondern manuell kollidiert da m.e. nichts.

[DynaBlaster]

@ Savar
Ach ! Echt ?

Und wieder was dazu gelernt, kann ich also nicht mehr verleugnen, meine ersten Linux-Erfahrungen mit SuSE (Ich glaube 5.x) gemacht zu haben

@ loddar

für Emule einfach das hier unter

Code: Alles auswählen

# Dienste erlauben
#
# ssh
#
iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT

einfügen:

Code: Alles auswählen

iptables -A INPUT -i eth0 -p TCP --dport 4662 -j ACCEPT
usw....

Hab das so ziemlich angepasst, das ist richtig. Nur die Einträge für den Bereich Samba sollten als Beispiel dienen, wie man bestimmte Dienste nur für ein bestimmetes Netz öffnet.
Und nicht vergessen. So wie das Script da steht, können sich der Hauptrechner und der Zweitrechner zwar anpingen, aber nicht mehr. Wenn du also andere Dienste des Hauptrechners auf dem Zweitrechner brauchst oder andersrum (SSH, Samba, FTP, Cups, was weiss ich ...) musst du das Script unterhalb der Stelle "Konfiguration eth1" auch noch erweitern/anpassen. Soltte dann ähnlich aussehen, wie unter "Konfiguration eth0".

Einfach rumprobieren, bis alles läuft wie es soll. Und die Änderungen die du während des Betriebs machst kannst du mittels

Code: Alles auswählen

/etc/init.d/firewall restart

auch ohne Neustart übernehmen. Ich gehe jetzt davon aus, daß das Script als firewall unter /etc/init.d liegt. Kann aber grundsätzlich heissen wie du willst.

[loddar]

@ DynaBlaster

und die entsprechenden udp-ports ->zeile 58 firewall script?

Code: Alles auswählen

iptables -A INPUT -i eth0 -p UDP --dport 22 -j ACCEPT

??

[DynaBlaster]

Ja, z.B.

nur das SSH den UDP-Port 22 nicht braucht. Läuft nur über TCP. Du kannst aber z.B. das -p TCP bzw. -p UDP auch einfach weglassen. Die Regel gilt dann sowohl für TCP als auch UDP.

Code: Alles auswählen

iptables -A INPUT -i eth0 --dport 22 -j ACCEPT

öffnet TCP- und UDP-Port 22.

[loddar]

o.k.

beim punkt samba müsste doch in meinem fall für internes interface eth1 stehen?

werde dann das script chmoden+verlinken.
melde mich wieder, falls unstimmigkeiten.

viel spass beim fussball gucken heute abend.
da stuttgart mein wohnsitz freue ich mich schon auf die wm 2006