Wieder mal das Routing

[Fr33RiderNEO]

Hi,
ich komm grad nicht klar:
DSL Router <> Debian eth0 -- eth1mit DHCP <>Windows PC
192.168.0.1 192.168.0.10 192.168.100.1 DHCP

Meine Schritte bisher:

/etc/interfaces

Code: Alles auswählen

auto lo eth0 eth1

# The loopback network interface
iface lo inet loopback

# The primary network interface
iface eth0 inet static
	address 192.168.0.10
	netmask 255.255.255.0
	broadcast 192.168.0.255
	gateway 192.168.0.1

# The secondary interface
iface eth1 inet static
	address 192.168.100.1
	netmask 255.255.255.0
	broadcast 192.168.100.255

/etc/dhcp3/

Code: Alles auswählen

ddns-update-style none;
authoritative;
log-facility local7;

subnet 192.168.100.0 netmask 255.255.255.0
{
	range 192.168.100.4 192.168.100.254;
	option domain-name "localinter.net";
	option routers 192.168.100.1;
	option broadcast-address 192.168.100.255;
	default-lease-time 86400;
	max-lease-time 604800;
}

Achso ja /etc/default/dhcp3-server hab ich auch angepaßt:

Code: Alles auswählen

INTERFACES="eth1"

Simples Forwarding

Code: Alles auswählen

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

Achso, mein Routing:

Code: Alles auswählen

x:~# route -n
Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
192.168.100.0   0.0.0.0         255.255.255.0   U     0      0        0 eth1
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
0.0.0.0         192.168.0.1     0.0.0.0         UG    0      0        0 eth0

Bisher komme ich vom Windows PC nicht ins Internet. Was mache ich falsch?
Und wie ergänze ich die Firewallregeln damit ich nur noch jemanden auf eth1 über port 3128 ins lasse?
Ansonsten kann eth0 offen bleiben für updates von clamav etc.
Auch läuft schon ein Webserver auf Port 80 eth0

[buffoon]

Hallo,

Ich versuch mal mit meinem 1. Beitrag in dem Forum zu helfen =)

Ich denk mir mal dass der Router nicht das andere Netzwerk kennt. Deshalb wirst du das entweder mitteilen müssen, oder du machst das Routing mit NAT.

Das hier sollte funktionieren falls du dich für NAT entscheidest.

Code: Alles auswählen

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

grüße
buffoon

[Baer]

oder ohne Nat:
Auf dem DSL Router eine Route zum 192.168.100.0 Netz anlegen.

Wenn du jetzt, vom Win PC aus, ein Paket verschickst kommt das beim dslr mit der Original IP an, wird dort genatet und an den Empfänger geschickt.
Die Antwort wird beim dslr entnatet, hat eine IP aus einem fremden subnet, wird zum default gw (intenet) geschickt und dort in /dev/null abgelegt (Private IP, kann und wird im i-net nicht gerautet)

Mit der Route sagst du dem dslr wer für Pakete aus dem 100er Netz zuständig ist (dein Linuxrechner 100.1)
LG Urs

[Fr33RiderNEO]

Danke buffoon
klappt schonmal 1A
und danke auch Baer für deinen Tipp, aber der DSL Router ist nur nach TR-69 autokonfiguriert, ich habe selbst keinen Zugriff auf das Konfigurationsmenü. Eine "Blackbox" des DSL-Anbieters.

Darf ich eure Hilfe noch ein wenig in Anspruch nehmen?

Ich würde nun, wo das Routing geht gerne ausschließen das jemand von intern über port 3128 rauskann (will einen squid aufsetzen)
also nur raus/rein über diesen port?
Was muß ich noch hinzufügen?

LG
Fr33Rider

[buffoon]

Hmm, so wie ich das verstehe willst du die Ports zum Surfen auf dem Port von Squid umleiten oder? Das ist auf jedem Fall machbar. Schau dich mal nach Tutorials zum Thema "transparenten Squid" um. Da wirst du bestimmt fündig.

Grüße
buffoon

[DynaBlaster]

Wenn deine Clients im Netz 192.168.100.0/24 eh nur über den Squid ins Internet rausdürfen sollen, dann kannst du dir das Forwarding und "NAT bzw. Masquerading" imho komplett sparen, da diese Clients für die Benutzung des Proxies keine direkte Verbindung ins Internet brauchen. Was noch fehlen könnte, ist ein DNS-Server. In deiner dhcp3.conf kann ich jedenfalls nix in dieser Richtung sehen.

Mit transparentem Squid ist gemeint, dass die User nix davon mitbekommen, dass sie über einen Proxy umgeleitet werden. Für normalen HTTP-Traffic sähe das dann etwa so aus

Code: Alles auswählen

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128