Hallo,
habe hier deinen Debian Router mit drei Netzwerkkarten,
eth0 geht per ppp0 über dsl-modem ins internet ip wird autom.zugewiesen
eth1 ip 192.168.13.10 ist netzwerkkarte für bestehendes LAN.
Daran hängen über einen Hub 2 Windows und 1 Linux Rechner die alle
als Gateway 192.168.13.10 eingetragen haben, über Nameserver bind.
Habe jetzt eine Wlan Karte in den Router eingebaut die in das bestehende Netzwerk
integriert werden soll und im Ad-Hoc Modus meinem Laptop Zugriff aufs Internet ermöglichen soll.
IP Adresse von wlan 192.168.13.15, ip adresse vom laptop 192.168.13.16.
Habe das alles auch als allow-query in meine named.conf.options eingetragen.
Geschützt ist alles über eine Firewall.
Ist das Wlan dann mit über die Firewall geschützt oder muss ich das nochmal extra absichern? Und geht das überhaupt grundsätzlich so?
Benutze Debian Sarge.
Viele Grüße
Yvonne
wlan in bestehendes Netzwerk einbinden
-
jhr-online
- Beiträge: 2186
- Registriert: 18.09.2005 15:52:02
- Lizenz eigener Beiträge: GNU Free Documentation License
-
Kontaktdaten:
Re: wlan in bestehendes Netzwerk einbinden
Ich würde zwei verschiedene Interfaces in zwei verschiedene Subnetz legen...
Im ernst: keiner hier kennt deine Firewall; woher sollen wir das wissen?
jhr
Du beantwortest deine Frage ja selber...yvonneja hat geschrieben:Geschützt ist alles über eine Firewall.
Ist das Wlan dann mit über die Firewall geschützt oder muss ich das nochmal extra absichern?
Im ernst: keiner hier kennt deine Firewall; woher sollen wir das wissen?jhr
Desktop: Intel Core2Quad Q8300 2.5GHz, 256GB SSD + 1 TB HDD, 8 GB RAM, Debian Sid, Kernel 3.13
also könnte ich eth1 im subnetz 192.168.13.0 lassen und lege
wlan zum Beispiel in das Subnetz 192.168.1.1. Laptop gebe ich dann die 192.168.1.2.
Aber was trage ich dann als gateway im Laptop ein?
Sorry hier meine Firewallregeln:
# GRUNDKONFIGURATION
# Schnittstelle zum lokalen Netzwerk
IFACE_INT=eth1
# Internetschnittstelle
IFACE_EXT=ppp0
# Loopback device
IFACE_LO=lo
# Mitprotokollieren rausgefilteter Pakete
LOG="an" # an/aus
# SERVERKONFIGURATION
# Ports auf dem Router vom Internet aus zugÀnglich machen
SERVER_PORTS_TCP="" # Falls dies nicht gewÃŒnscht ist, leere Hochkommas angeben
SERVER_PORTS_UDP="" # Falls dies nicht gewÃŒnscht ist, leere Hochkommas angeben
# Ports an einen Rechner im lokalen Netz weiterleiten
DEST_HOST="" # Durch die IP-Adresse des Rechner ersetzen
PORTS_TCP="" # Falls dies nicht gewÃŒnscht ist, leere Hochkommas angeben
PORTS_UDP="" # Falls dies nicht gewÃŒnscht ist, leere Hochkommas angeben
# Ab hier nichts mehr editieren!
case "$1" in
start)
echo -n "Starting firewall: iptables"
# Alte Regeln löschen
iptables -F
iptables -F -t mangle
iptables -F -t nat
iptables -X
iptables -X -t mangle
iptables -X -t nat
# ************
# * POLICIES *
# ************
# Default-Policies setzen - alles fliegt raus
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
# Einschalten von ip-Forwarding
echo "1" > /proc/sys/net/ipv4/ip_forward
# ***********************
# * EINGEHENDER VERKEHR *
# ***********************
# Soll nicht sein
iptables -A INPUT -p TCP ! --syn -m state --state NEW -j DROP
# Aus dem internen Netz: alles erlauben
iptables -A INPUT -i $IFACE_INT -j ACCEPT
# Ãœber das Loopback: Alles erlauben
iptables -A INPUT -i $IFACE_LO -j ACCEPT
# Vom Internet: Darf nicht sein
iptables -A INPUT -i $IFACE_EXT -s 10.0.0.0/8 -j DROP
iptables -A INPUT -i $IFACE_EXT -s 172.16.0.0/12 -j DROP
iptables -A INPUT -i $IFACE_EXT -s 192.168.0.0/24 -j DROP
# Verkehr aus dem Internet auf bereits initialisierten Verbindungen erlauben
iptables -A INPUT -i $IFACE_EXT -m state \
--state ESTABLISHED,RELATED -j ACCEPT
# Falls Serverdienste vom Internet zugÀnglich sein sollen, diese erlauben
if [ "$SERVER_PORTS_TCP" != "" ]; then
iptables -A INPUT -i $IFACE_EXT -p tcp -m multiport \
--dport $SERVER_PORTS_TCP -j ACCEPT
fi
if [ "$SERVER_PORTS_UDP" != "" ]; then
iptables -A INPUT -i $IFACE_EXT -p udp -m multiport \
--dport $SERVER_PORTS_UDP -j ACCEPT
fi
###wlan
#keine externen pakete zum lo
#iptables -A INPUT -i ra0 -s $IFACE_LO -j DROP
#iptables -A FORWARD -i ra0 -s $IFACE_LO -j DROP
#iptables -A INPUT -i ra0 -d $IFACE_LO -j DROP
#iptables -A FORWARD -i ra0 -d $IFACE_LO -j DROP
##erlaube hereinkommende pakete über vpn
#iptables -A INPUT -p udp --dport 1194 -j ACCEPT
##pakete über tun/tap erlauben
#iptables -A INPUT -i tun+ -j ACCEPT
#iptables -A FORWARD -i tun+ -j ACCEPT
#äiptables -A INPUT -i tap+ -j ACCEPT
#iptables -A FORWARD -i tap+ -j ACCEPT
# ****************************
# * WEITERGELEITETER VERKEHR *
# ****************************
# Wegen der Telekom
iptables -I FORWARD -p TCP --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
#neue regel schnelleres dsl
iptables -I FORWARD -j TCPMSS -o IFACE_INT --clamp-mss-to-pmtu -p tcp --tcp-flags SYN,RST SYN
# Lokal -> Internet: Alles erlauben
iptables -A FORWARD -i $IFACE_INT -o $IFACE_EXT -j ACCEPT
# Internet -> Lokales: Nur Verkehr ÃŒber bereits bestehende Verbindungen erlauben
iptables -A FORWARD -i $IFACE_EXT -o $IFACE_INT -m state \
--state ESTABLISHED,RELATED -j ACCEPT
# Internet -> Lokales Netz: Ports die weitergeleitet werden sollen
if [ "$PORTS_TCP" != "" ]; then
iptables -A FORWARD -i $IFACE_EXT -o $IFACE_INT -p tcp -m multiport \
--dport $PORTS_TCP -d $DEST_HOST -j ACCEPT
fi
if [ "$PORTS_UDP" != "" ]; then
iptables -A FORWARD -i $IFACE_EXT -o $IFACE_INT -p udp -m multiport \
--dport $PORTS_UDP -d $DEST_HOST -j ACCEPT
fi
# **********************
# * AUSGEHNDER VERKEHR *
# **********************
# Ins lokale Netzwerk: Alles erlauben
iptables -A OUTPUT -o $IFACE_INT -j ACCEPT
# Ans Loopback: Alles erlauben
iptables -A OUTPUT -o $IFACE_LO -j ACCEPT
# Ins Internet : Alles erlauben
iptables -A OUTPUT -o $IFACE_EXT -j ACCEPT
#wlan ausgehender verkehr
#iptables -A OUTPUT -p udp --dport 1194 -j ACCEPT
# ***********
# * ROUTING *
# ***********
# Umleiten der Ports
if [ "$PORTS_TCP" != "" ]; then
iptables -t nat -A PREROUTING -i $IFACE_EXT -p tcp -m multiport \
--dport $PORTS_TCP -j DNAT --to $DEST_HOST
fi
if [ "$PORTS_UDP" != "" ]; then
iptables -t nat -A PREROUTING -i $IFACE_EXT -p udp -m multiport \
--dport $PORTS_UDP -j DNAT --to $DEST_HOST
fi
# Masquerading
iptables -A POSTROUTING -o $IFACE_EXT -t nat -j MASQUERADE
# ***********
# * LOGGING *
# ***********
if [ "$LOG" == "an" ]; then
# Alles was bis hier kommt, mitprotokollieren
iptables -A OUTPUT -j LOG --log-prefix "Nicht raus: "
iptables -A FORWARD -j LOG --log-prefix "Nicht durch: "
iptables -A INPUT -j LOG --log-prefix "Nicht rein: "
fi
echo "."
;;
stop)
echo -n "Stopping firewall: iptables"
# Alte Regeln löschen
iptables -F
iptables -F -t mangle
iptables -F -t nat
iptables -X
iptables -X -t mangle
iptables -X -t nat
# ************
# * POLICIES *
# ************
# Default-Policies setzen - alles bis auf Weiterleitung erlaubt
iptables -P INPUT ACCEPT
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
# Deaktivierung des ip-Forwarding
echo "0" > /proc/sys/net/ipv4/ip_forward
echo "."
;;
restart)
$0 start
;;
status)
iptables -L
;;
*)
echo "Usage: /etc/init.d/firewall start|stop|restart|status"
exit 1
;;
esac
Gruss
Yvonne
wlan zum Beispiel in das Subnetz 192.168.1.1. Laptop gebe ich dann die 192.168.1.2.
Aber was trage ich dann als gateway im Laptop ein?
Sorry hier meine Firewallregeln:
# GRUNDKONFIGURATION
# Schnittstelle zum lokalen Netzwerk
IFACE_INT=eth1
# Internetschnittstelle
IFACE_EXT=ppp0
# Loopback device
IFACE_LO=lo
# Mitprotokollieren rausgefilteter Pakete
LOG="an" # an/aus
# SERVERKONFIGURATION
# Ports auf dem Router vom Internet aus zugÀnglich machen
SERVER_PORTS_TCP="" # Falls dies nicht gewÃŒnscht ist, leere Hochkommas angeben
SERVER_PORTS_UDP="" # Falls dies nicht gewÃŒnscht ist, leere Hochkommas angeben
# Ports an einen Rechner im lokalen Netz weiterleiten
DEST_HOST="" # Durch die IP-Adresse des Rechner ersetzen
PORTS_TCP="" # Falls dies nicht gewÃŒnscht ist, leere Hochkommas angeben
PORTS_UDP="" # Falls dies nicht gewÃŒnscht ist, leere Hochkommas angeben
# Ab hier nichts mehr editieren!
case "$1" in
start)
echo -n "Starting firewall: iptables"
# Alte Regeln löschen
iptables -F
iptables -F -t mangle
iptables -F -t nat
iptables -X
iptables -X -t mangle
iptables -X -t nat
# ************
# * POLICIES *
# ************
# Default-Policies setzen - alles fliegt raus
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
# Einschalten von ip-Forwarding
echo "1" > /proc/sys/net/ipv4/ip_forward
# ***********************
# * EINGEHENDER VERKEHR *
# ***********************
# Soll nicht sein
iptables -A INPUT -p TCP ! --syn -m state --state NEW -j DROP
# Aus dem internen Netz: alles erlauben
iptables -A INPUT -i $IFACE_INT -j ACCEPT
# Ãœber das Loopback: Alles erlauben
iptables -A INPUT -i $IFACE_LO -j ACCEPT
# Vom Internet: Darf nicht sein
iptables -A INPUT -i $IFACE_EXT -s 10.0.0.0/8 -j DROP
iptables -A INPUT -i $IFACE_EXT -s 172.16.0.0/12 -j DROP
iptables -A INPUT -i $IFACE_EXT -s 192.168.0.0/24 -j DROP
# Verkehr aus dem Internet auf bereits initialisierten Verbindungen erlauben
iptables -A INPUT -i $IFACE_EXT -m state \
--state ESTABLISHED,RELATED -j ACCEPT
# Falls Serverdienste vom Internet zugÀnglich sein sollen, diese erlauben
if [ "$SERVER_PORTS_TCP" != "" ]; then
iptables -A INPUT -i $IFACE_EXT -p tcp -m multiport \
--dport $SERVER_PORTS_TCP -j ACCEPT
fi
if [ "$SERVER_PORTS_UDP" != "" ]; then
iptables -A INPUT -i $IFACE_EXT -p udp -m multiport \
--dport $SERVER_PORTS_UDP -j ACCEPT
fi
###wlan
#keine externen pakete zum lo
#iptables -A INPUT -i ra0 -s $IFACE_LO -j DROP
#iptables -A FORWARD -i ra0 -s $IFACE_LO -j DROP
#iptables -A INPUT -i ra0 -d $IFACE_LO -j DROP
#iptables -A FORWARD -i ra0 -d $IFACE_LO -j DROP
##erlaube hereinkommende pakete über vpn
#iptables -A INPUT -p udp --dport 1194 -j ACCEPT
##pakete über tun/tap erlauben
#iptables -A INPUT -i tun+ -j ACCEPT
#iptables -A FORWARD -i tun+ -j ACCEPT
#äiptables -A INPUT -i tap+ -j ACCEPT
#iptables -A FORWARD -i tap+ -j ACCEPT
# ****************************
# * WEITERGELEITETER VERKEHR *
# ****************************
# Wegen der Telekom
iptables -I FORWARD -p TCP --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
#neue regel schnelleres dsl
iptables -I FORWARD -j TCPMSS -o IFACE_INT --clamp-mss-to-pmtu -p tcp --tcp-flags SYN,RST SYN
# Lokal -> Internet: Alles erlauben
iptables -A FORWARD -i $IFACE_INT -o $IFACE_EXT -j ACCEPT
# Internet -> Lokales: Nur Verkehr ÃŒber bereits bestehende Verbindungen erlauben
iptables -A FORWARD -i $IFACE_EXT -o $IFACE_INT -m state \
--state ESTABLISHED,RELATED -j ACCEPT
# Internet -> Lokales Netz: Ports die weitergeleitet werden sollen
if [ "$PORTS_TCP" != "" ]; then
iptables -A FORWARD -i $IFACE_EXT -o $IFACE_INT -p tcp -m multiport \
--dport $PORTS_TCP -d $DEST_HOST -j ACCEPT
fi
if [ "$PORTS_UDP" != "" ]; then
iptables -A FORWARD -i $IFACE_EXT -o $IFACE_INT -p udp -m multiport \
--dport $PORTS_UDP -d $DEST_HOST -j ACCEPT
fi
# **********************
# * AUSGEHNDER VERKEHR *
# **********************
# Ins lokale Netzwerk: Alles erlauben
iptables -A OUTPUT -o $IFACE_INT -j ACCEPT
# Ans Loopback: Alles erlauben
iptables -A OUTPUT -o $IFACE_LO -j ACCEPT
# Ins Internet : Alles erlauben
iptables -A OUTPUT -o $IFACE_EXT -j ACCEPT
#wlan ausgehender verkehr
#iptables -A OUTPUT -p udp --dport 1194 -j ACCEPT
# ***********
# * ROUTING *
# ***********
# Umleiten der Ports
if [ "$PORTS_TCP" != "" ]; then
iptables -t nat -A PREROUTING -i $IFACE_EXT -p tcp -m multiport \
--dport $PORTS_TCP -j DNAT --to $DEST_HOST
fi
if [ "$PORTS_UDP" != "" ]; then
iptables -t nat -A PREROUTING -i $IFACE_EXT -p udp -m multiport \
--dport $PORTS_UDP -j DNAT --to $DEST_HOST
fi
# Masquerading
iptables -A POSTROUTING -o $IFACE_EXT -t nat -j MASQUERADE
# ***********
# * LOGGING *
# ***********
if [ "$LOG" == "an" ]; then
# Alles was bis hier kommt, mitprotokollieren
iptables -A OUTPUT -j LOG --log-prefix "Nicht raus: "
iptables -A FORWARD -j LOG --log-prefix "Nicht durch: "
iptables -A INPUT -j LOG --log-prefix "Nicht rein: "
fi
echo "."
;;
stop)
echo -n "Stopping firewall: iptables"
# Alte Regeln löschen
iptables -F
iptables -F -t mangle
iptables -F -t nat
iptables -X
iptables -X -t mangle
iptables -X -t nat
# ************
# * POLICIES *
# ************
# Default-Policies setzen - alles bis auf Weiterleitung erlaubt
iptables -P INPUT ACCEPT
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
# Deaktivierung des ip-Forwarding
echo "0" > /proc/sys/net/ipv4/ip_forward
echo "."
;;
restart)
$0 start
;;
status)
iptables -L
;;
*)
echo "Usage: /etc/init.d/firewall start|stop|restart|status"
exit 1
;;
esac
Gruss
Yvonne
-
jhr-online
- Beiträge: 2186
- Registriert: 18.09.2005 15:52:02
- Lizenz eigener Beiträge: GNU Free Documentation License
-
Kontaktdaten:
Hab nicht alles gelesen, aber prinzipiell: Du hast jetzt ja zwei interne Interfaces, folglich musst du die auch benennen und jede Zeile, in er $IFACE_INT vorkommt wiederholen mit $IFACE_INT2 oder so... Verstehst du, wo der Knackpunkt liegt?
Darüber hinaus wäre es natürlich sinnvoll, alle Regeln noch mal zu überdenken; es muss ja nicht im WLAN alles genauso sein wie im LAN, aber das ist nur von dir abhängig...
jhr
//edit: Lange Logfiles gehören nach nopaste.debianforum.de
//edit2: Ich Blödmann... lange Configs auch.
Darüber hinaus wäre es natürlich sinnvoll, alle Regeln noch mal zu überdenken; es muss ja nicht im WLAN alles genauso sein wie im LAN, aber das ist nur von dir abhängig...
jhr
//edit: Lange Logfiles gehören nach nopaste.debianforum.de
//edit2: Ich Blödmann... lange Configs auch.
Desktop: Intel Core2Quad Q8300 2.5GHz, 256GB SSD + 1 TB HDD, 8 GB RAM, Debian Sid, Kernel 3.13
-
jhr-online
- Beiträge: 2186
- Registriert: 18.09.2005 15:52:02
- Lizenz eigener Beiträge: GNU Free Documentation License
-
Kontaktdaten: