eth0 -> Internet weiterleiten zu -> eth1 //gelöst

[GamezZz]

Guten Abend.

Ich möchte gerne das Internet von der von der Netzwerkkarte eth0 auf die eth1 bekommen in dem man das Weiterleitet wie ein Router.

Eth1 hat einen DHCP Server mit folgenden Einstellungen.

### Server:/etc/dhcpd.conf ##################################################

# Minimale Ausleihzeit in Sekunden (1 Stunde)
default-lease-time 3600;

# Maximale Ausleihzeit in Sekunden (24 Stunden)
max-lease-time 86400;

# Für die Netzwerkkarte eth1 (LAN) gelten folgende Einstellungen
subnet 192.168.1.0 netmask 255.255.255.0 {
# Domainname = mylan
option domain-name "Netzwerkintern";

# zwei DNS-Server
option domain-name-servers 192.168.0.1, 192.168.178.1;

# Internet-Gateway
option routers 192.168.1.1;

# Netzmaske
option subnet-mask 255.255.255.0;

# dynamische Zuweisung bei fremden Rechnern im LAN
range 192.168.1.20 192.168.1.100;

}

# Für die Netzwerkkarte eth0 (DSL) gelten folgende Einstellungen
subnet 10.0.0.1 netmask 255.255.255.255 {
}

###########################################################

Dazu habe ich die Eth 0 und 1 eine IP Adresse zugewiesen.

// /etc/network/interfaces

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
allow-hotplug eth0
iface eth0 inet static
address 192.168.178.100
netmask 255.255.255.0
gateway 192.168.178.1

auto eth0

iface eth1 inet static
address 192.168.1.1
netmask 255.255.255.0

auto eth1

Jetzt zu meiner genauen Frage. Wie bekomme ich das Internet auf die eth1 Netzwerkkarte weitergeleitet. Habe mal irgendwas mit iptables gelesen aber ich weiß nicht genau wie das funktionieren soll.

[omgwtfbbq]

Ich möchte gerne von der Netzwerkkarte eth0 auf die eth1 Internet bekommen.

WAS? Hablas aleman? Sprechen sie Deutsch? Do you speak german?

Jetzt zu meiner genauen Fragen. Wie bekomme ich das Internet auf die eth1 Netzwerkkarte weitergeleitet. Habe mal irgend was mit iptables gelesen aber ich weiß nicht genau wie das funktioniert.

Äh ... du willst "das Internet weiterleiten" oder wie??
Stell mal bitte eine klare, verständliche, (deutsche) und logische Aufgabe - nur dann kann dir überhaupt jemand helfen

[Danielx]

Code: Alles auswählen

                    ------------------------
  ------------      |        Router        |      -------------------------
  | Internet | <==> < ext IP x.x.x.x       |      |        Server         |
  ------------      | int IP 192.168.178.1 > <==> < eth0: 192.168.178.100 |      ------------------
                    ------------------------      |     192.168.1.1 :eth1 > <==> <    Clients     |
                                                  -------------------------      | 192.168.1.20 - |
                                                                                 | 192.168.1.100  |
                                                                                 ------------------

Die Clients sollen dann ins Internet kommen, so ist das wahrscheinlich gemeint.

Gruß,
Daniel

[GamezZz]

Jo genau so habe ich das gemeint.

war schon spät als ich das gepostet habe !!!

Also an alle die es noch nicht verstanden haben !!!

eth0 bekommt von einem Router Internet.
und die Netzwerkkarte eth1 soll das Internet weitergeben bzw weiterleiten über die zweite Netzwerkkarte eth1.
Dazu werden aber denn neue IP Adressen zugewiesen über den DHCP Server über eth1 (zweite Netzwerkkarte).

[omgwtfbbq]

Code: Alles auswählen

#!/bin/bash
case $1 in
start)
sysctl -w net/ipv4/ip_forward=1
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

iptables -A INPUT -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A POSTROUTING -t nat -o eth0 -j MASQUERADE

iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp --dport 443 -j ACCEPT

;;
stop)
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -P INPUT ACCEPT
iptables -P OUPUT ACCEPT
iptables -P FORWARD ACCEPT
sysctl -w net/ipv4/ip_forward=0
;;
esac
exit 0

so sollte das funktionieren. Sobald der Server eine Internet-Verbindung an eth0 hat kann jeder Client den Server als Gateway benutzen -- ein lokaler DNS-Dienst sollte noch installiert werden.
Zwischen den Netzen wird nur zugelassen was du auch willst - und zwar in der Chain "FORWARD". Dieses Script ist natürlich keineswegs vollständig und sollte an dich angepasst werden, Iptables ist ein sehr komplexes Thema, das hier ist eine gute Lektüre zum Einsteigen

[GamezZz]

Cool danke schon mal.

habe das alles gleich mal eingeben nur wie immer kein internet !!!

Getestet mit Firefox und Internet Explorer

Hmmm also ein Tipp Fehler kann ich auch auch ausschließen da ich alles kopiert habe !!

[omgwtfbbq]

"eingegeben"?? Das ist ein Shell-Script, es muss also als Datei gespeichert und ausgeführt werden

[GamezZz]

Habe alles in eine Datei Names install.sh kopiert und hochgeladen.

chmod 777 install.sh ebend noch rechte gegeben.

./install.sh ausgeführt.

Gleiche Problem wie vorher.

[omgwtfbbq]

du musst auch

Code: Alles auswählen

./install.sh start

eingeben, normalerweise heisst so eine Datei aber "firewall" oder "routerconfig" oder so ähnlich . "Install" passt nicht ganz

[GamezZz]

achso

sorry xD verzeiht mir

bin auch noch anfänger unter debian.

Soo habe es damit nun auch gestartet.

Und leider immer noch kein Internet. Wenn ich es starte kommt folgendendes:

Server:~# ./install.sh start
net.ipv4.ip_forward = 1
Server:~#

Aber ich vermute mal dass das richtig ist.

[omgwtfbbq]

man sollte dir ehrlicherweise evtl. sagen dass Debian nicht die beste Wahl für Anfänger ist - es ist zwar eine der sichersten und stabilsten Linux-Ditributionen aber nach meiner Erfahrung auch die Anfänger-feindlichste.
Wenn du nur mal reinschnuppern oder direkt anfangen willst dann sind Distributionen wie Ubuntu oder openSuSe besser - unter Debian muss man sich mit vielen Details rumschlagen

[GamezZz]

Jo das stimmt vielleicht -,-

Aber ich finde Debian ganz gut, und kann mittlerweile vieles. Nur IPtable habe ich noch nie gemacht und ich steige da ganz ehrlich auch nicht durch. Gibt es vielleicht ein Programm oder ein Interface wie aufm Router wo man das alles ganze einfach Einstellen kann ?

[omgwtfbbq]

LÖSCHMICH

[omgwtfbbq]

Gibt es vielleicht ein Programm oder ein Interface wie aufm Router wo man das alles einstellen kann ?

Viele ...
http://freshmeat.net/search/?q=iptables+gui
die von IPCop sah bei meinem letzten Test recht gut aus, am besten wirds sein wenn du deinen Liebling selbst aussuchst

[Danielx]

Du kannst anstatt Masquerading auch einfach im Router (der vor dem Server hängt, also nicht beim Server selbst) eine statische Route setzen:

Code: Alles auswählen

Ziel: 192.168.1.0
Netmask: 255.255.255.0
Gateway: 192.168.178.100

Auf dem Server muss aber auch in diesem Fall das IP-Forwarding erlaubt werden, entweder mit:

Code: Alles auswählen

echo 1 > /proc/sys/net/ipv4/ip_forward

oder:

Code: Alles auswählen

sysctl -w net.ipv4.ip_forward=1

Diese IP-Forwarding Einstellung wird allerdings bei einem Neustart des Servers weg sein, also entweder in das Firewallskript reinschreiben oder net.ipv4.ip_forward=1 in der /etc/sysctl.conf einkommentieren oder reinschreiben.

Gruß,
Daniel

[GamezZz]

Brauche ich dafür die o.g. Iptables ??

[Danielx]

Brauche ich dafür die o.g. Iptables ??

Nein, vorausgesetzt du hast bisher keine iptables-Regeln auf dem Server aktiviert, wenn doch, dann darfst du das Forwarding in diesen iptables-Regeln natürlich nicht blockiert haben bzw. musst es evtl. wieder erlauben.

Das Problem liegt ja nur darin, dass die Pakete den Weg von den Clients zwar über den Server zum Router finden (aktiviertes IP-Forwarding auf dem Server vorausgesetzt), aber diese auf dem Rückweg vom Router nicht wissen, wie sie zurück zu den Clients finden sollen.

Gruß,
Daniel

[omgwtfbbq]

Das Problem liegt ja nur darin, dass die Pakete den Weg von den Clients zwar über den Server zum Router finden (aktiviertes IP-Forwarding auf dem Server vorausgesetzt), aber diese auf dem Rückweg vom Router nicht wissen, wie sie zurück zu den Clients finden sollen.

Ähm ... das "wissen" sie sehr wohl, schliesslich gibts ja den state "RELATED" und "ESTABLISHED" - das wird alles korrekt zugeordnet. Was du meinst ist wohl der Umstand, dass eingehene Pakete mit state NEW immer den Server als Destination-IP haben, weil er schliesslich ja auch alle Source-IP´s in den Paketen der Clients zuvor ersetzt hat. Ergo muss man für state NEW von aussen die Destination-IP ändern lassen (sei es denn gewollt), das geschieht unter iptables mit ner Regel ... aber so etwas brauch er ja noch nicht, HTTP, HTTPS und Gedöns reicht ja scheinbar erstmal

[GamezZz]

Also an die eth1 soll natürlich Internet Verfügbar sein.

Ich weiß jetzt nicht genau wenn ich da ein Linux Rechner dran anschließe und dann Updates durchführe ob das auch über den Port 80 http läuft !!!

Aber normalerweiße reicht HTTP HTTPS aus an freigeben.

Bloß was soll ich jetzt alles machen !!!

Debian ist nun wieder sauber und blank.

Nur der DHCP Server ist installiert.

[omgwtfbbq]

Ich weiß jetzt nicht genau wenn ich da ein Linux Rechner dran anschließe und dann Updates durchführe ob das auch über den Port 80 http läuft !!!

Sofern du als Repository auch die HTTP-Quellen gewählt hast: ja

Bloß was soll ich jetzt alles machen !!!

Kommt darauf an: Willst du einen Computer permanent laufen haben damit du ins Internet kommst oder willst du Strom sparen und dich mit dem Router beschäftigen?

[Danielx]

Ähm ... das "wissen" sie sehr wohl, schliesslich gibts ja den state "RELATED" und "ESTABLISHED" - das wird alles korrekt zugeordnet.

Störst du dich jetzt an dem Wort "wissen" oder woran?
Ich glaube eher nicht...

Was du meinst ist wohl der Umstand, dass eingehene Pakete mit state NEW immer den Server als Destination-IP haben, weil er schliesslich ja auch alle Source-IP´s in den Paketen der Clients zuvor ersetzt hat.

Nein, das meine ich nicht.

Wenn ein Paket mit der von einem Client mit der Absender-Adresse 192.168.1.20 über den Server zum Router gelangt, dann sieht der Router (siehe mein Schaubild) das Paket mit dem Absender 192.168.1.20, dann macht der Router eine Adressumsetzung (NAT) und leitet das Paket, welches jetzt als Absender die öffentliche IP des Routers hat ins Internet weiter.
Wenn jetzt das Rück-Paket aus dem Internet beim Router ankommt, dann ist die Ziel-Adresse die öffentliche IP des Routers, der Router macht dann wieder eine Adressumsetzung (er hat sich die Zuordnung gemerkt) und das Paket hat jetzt wieder die Ziel-Adresse 192.168.1.20.
Nur weiß der Router jetzt ohne zusätzlichen Routing-Eintrag nicht, wohin er das Paket senden soll, da der Router in einem anderen Subnetz (192.168.178.0) ist als die Ziel-Adresse des Paketes (Subnetz 192.168.1.0).
Deshalb ist der Routing-Eintrag, so wie ich ihn gepostet habe, nötig, wenn zwischen Client und Server, kein Masquerading gemacht wird (diese Methode hatte ich ja als Alternative zu deinem Masquerading-Vorschlag vorgestellt).

Das Masquerading auf dem Server bewirkt, dass die Absender-Adresse des Pakets in eine Adresse aus dem Subnetz des Routers umgesetzt wird (genauer in die Adresse des Servers, welcher also dem Router vorspielt, er selbst (der Server) hätte das Paket auf den Weg geschickt und nicht der Client).
Deshalb liegt die Ziel-Adresse des Rück-Pakets dann logischerweise nach dem NAT des Routers im gleichen Subnetz wie die Adresse des Routers, so dass kein zusätzlicher Routing-Eintrag im Router nötig wird.
Die Adressumsetzung in die ursprüngliche Adresse 192.168.1.20 macht dann schließlich der Server.

Mit deiner Begründung wäre übrigens gar kein Masquerading nötig, da das Paket, deiner Meinung nach ja sowieso weiß, wohin es soll...

Gruß,
Daniel

[GamezZz]

Also der Rechner is eh immer dann an. Also der soll nur an die anderen Clients Internet vergeben !!! 80 Port reicht.
Mehr soll der nicht machen. Ja und ebend mit dem DHCP Server IP zuweißen !

[omgwtfbbq]

Mit deiner Begründung wäre übrigens gar kein Masquerading nötig, da das Paket, deiner Meinung nach ja sowieso weiß, wohin es soll...

Quark mit Sosse, erstens hatte/habe ich in diesem Bezug keine "Meinung" sondern nur Wissen und zweitens "weiss" ein Paket selbst garnix, das hätte man aber auch aus meinen Worten extrahieren können.

Also der Rechner is eh immer dann an. Also der soll nur an die anderen Clients Internet vergeben !!! 80 Port reicht.
Mehr soll der nicht machen. Ja und ebend mit dem DHCP Server IP zuweißen !

Und wo is jetz das Problem? Geht doch schon. Beschäftige dich mal mit iptables

[GamezZz]

Also bei mir geht garnichts !!!

Was soll ich den jetzt genau machen !!!

[omgwtfbbq]

Und wieso sagst du dann nichts? Sollen wir deine Gedanken lesen oder wie?

Welche Fehlermeldung kriegst du, was geht denn genau nicht?