10 winxp pro clients & 1 debian server

[edvli]

Hi Leute,

bin neu in diesem Forum und weiß es nicht ob ich gerade richtig poste.

Ich möchte einen Netzwerk aufbauen. Und zwar 10 winxp pro clients und 1 debian server mit 2 Netzwerkkarten. D. H. die erste Lan fürs Intranet und die zweite fürs Internet. Natürlich möchte ich home-Verzeichnisse bzw. ein programm am server um die Seiten vom Internet zu filtern. Mit debian habe ich wenig Erfahrung.

Wie lässt sich so ein Projekt durchführen?

Danke im voraus für eine rasche Antwortl

mfg

edvli

[schwedenmann]

Hallo

sehe ich das richtig, das du mit dem server ins Internet willst und über den Server die Clients mit dem Inetrnet verbinden willst ?

Zu den /homeverzeichnissen, sieh dir mal den samba-fileserver an, der macht genau das.

Den Server quasi als Router zu nutzen, würde ich nie machen.

mfg
schwedenmann

[edvli]

Hallo Schwedenmann,

vielen Dank für die schnelle Antwort.
Ich habe davor nicht genau erläutert, wie das alles konkret sein soll.
Der Router ist unabhängig vom debian-server. Mein Wunsch wäre:

Wie gesagt der debian-server hat 2 Netzwerkkarten.

- Intranet mit Z.B. ip 10.16.1.1 (aufm server) bis 10.16.1.10 (ca 10 clients) --> für die erste Netzwerkkarte als Intranet-Netzwerkkarte.

- Internet wird über dhcp von einem stand alone router bezogen --> für die zweite Netzwerkkarte als Internet-Netzwerkkarte. An dieser Stelle möchte ich eine Art Filterung oder firewall. D. h. bestimme Internet-Seiten dürfen vom Intranet aus nicht erreicht werden. Eine Lösung auf user-Ebene wäre auch ok. Aber welche?

Die Internet-Verbindung besteht soweit bzw. bei der Testinstallation von debian gab es Internetzugang über die Internet-Netzwerkkarte.

Ziel ist es die Intranet-pcs mit Internet zu versorgen und die Geschichte mit den home-Verzeichnissen & vielleicht einem public-Verzeichnis zu erledigen.

Ist bei bei einem samba-filserver diesbezüglich viel Handarbeit angesagt? Oder sind die ini oder config-Dateien doch als default schon vollständig und einsatzfähig?

Hoffentlich ist die Schilderung klar dargestellt. Auf eine schnelle response freue ich mich sehr.


mfg

[schwedenmann]

Hallo


wenn du samba installierst, wird nur eien rudimentäre /etc/samba.conf mitinstalliert. Anleitungen zur samb.conf gibts im netz genug. Alternativ kann man samba
auch per GUi (swat) konfigurieren.
Zum Problem der Firewall und/oder Filterung könntest du natürlich mit iptables arbeiten, bzw. scripte oder fontends für iptables verwenden. Zweite Alternative wäre
ein Proxy-Cache Server wie Squid oder woffle . Die Clients kommunizieren dann nur mit dem Proxy-cache-server udn niemals direkt mit dem internet.
Im Proxy könntest du dann z.B. Bandbreite begrenzen, URL sperren und hättest komplette logs von allen Clients.

Für beide proxy-Cache-server gibts afaik GUI

mfg
schwedenmann

[edvli]

Hallo schwedenmann,

deine Erklärungen sind überzeugend und sehr plausibel. Vielen Dank.l
Ich werde versuchen, sie umzusetzen. Sollte es gut klappen (wäre dein Verdienst), dann werde ich das thema soweit beenden. Sonst melde ich wieder.

Lob an debianforum.de

edvli

mfg

[edvli]

Hallo Miteinander,

bin wieder da.

Bei squid usw. bin ich noch nicht soweit. Mein erstes kurzfristiges Ziel ist es aber, die clients grob schnell ins Internet zu bringen.

Eine von mir über die winxp clients erstellte Arbeitsgruppe gibt es mit statischen ips. Die gateway 10.16.1.1 ist die eth1 beim server. Die Clients haben 10.16.1.2...
Die eth0 ist fürs Internet dhcp. (Z.B. 192.168.10.100).
Alle ips sind anpingbar.

Mit dem Lenny server kann ich ins Internet. Aber mit den winxp clients nicht.

Wo hackt es?

Eure Antworte wären sehr hilfsreich.

mfg

edvli

[Duff]

Ist das IP-Forwarding auf dem Server eingeschaltet?

Wenn nein, solltest du das Interface, welches zum Inet-Router geht, nicht von den Win-Clients anpingen können!

[edvli]

Hallo,

die eth0, die nic zum Router, ist von den clients aus anpingbar.

Ich werde versuchen, die ip des eth0 (Internet) als gateway für die eth1 (Intranet) einzugeben. Wären in diesem Fall die clients fast öffentlich oder sogar von Außen angreifbar?

Ich weiß, als nt4 Umsteiger, es ist viel Stoff bei debian neu. Aber wir sind dabei.

[DynaBlaster]

Hallo,

die eth0, die nic zum Router, ist von den clients aus anpingbar.

Ich werde versuchen, die ip des eth0 (Internet) als gateway für die eth1 (Intranet) einzugeben. Wären in diesem Fall die clients fast öffentlich oder sogar von Außen angreifbar?

Ich weiß, als nt4 Umsteiger, es ist viel Stoff bei debian neu. Aber wir sind dabei.

Die eth0-Nic ist von den Clients nicht wirklich anpingbar bzw. der Debian-Server antwortet über seine eth1-Nic. Ist aber auch egal, da die entscheidenden Stichworte schon gefallen sind. IP-Forward beispielsweise. Weitere Stichworte sind NAT bzw. die Rückroute für das Internet-Gateway, über das der Debian-Server ins Netz kommt.

Also ip-forward aktivieren:

Code: Alles auswählen

echo "1" > /proc/sys/net/ipv4/ip_forward

und dann entweder eine statische Route auf dem Internet-Gateway eintragen: also 10.16.1.0 ist über eth0-IP des Debian-Servers erreichbar oder MASQERADING/SNAT auf dem Debian-Server einrichten

Code: Alles auswählen

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

[edvli]

Hallo,

vielen Dank Dynablaster für deine Antwort. Ich werde diese Befehle ausführen lassen. Vermutlich auf der shell-Ebene mit root-Rechten oder?

Mit welchem tool wird die Rückroute für das Internet-Gateway verfolgt oder ermittelt?

Swat
Möchte am Anfang die smb.conf (original) sichern.Wie am besten?
Ich habe die web interface swat starten können. Wo soll ich anfangen?
Wie schon erwähnt brauche ich 10 users, entsprechende home-Verzeichnisse und ein public-Verzeichnis!
Für NT Umsteiger wäre sowas nicht schlecht at the beginning.

Danke im voraus für jede Hilfe und parallel bin ich fleißig beim Googeln.

mfg

edvli

[schwedenmann]

Hallo

Zu Swat und Samba

Ich nehme an, das swat die smba.conf als samb.conf.bak speichert. Dui kannst aber auch selbst eine Kopier erstellen, ein die samba.conf als root ins Homeverzeichnis kopeiren.

Für samba mußt du zunächst für jeden Client eine Linuxuser anlgegen, dann unter swat für jeden user eine sambauser anlegen.
Danach dann für jeden Samabuser sein Homeverzeichnis geben und ev. für alle user /srv als allgemeines Schreib- und Leseverzeichnis definieren.
Wie das genau gemacht wird, siehe die diversen HowTo´s im Netz zur Sambaconfiguration, bei swat mußt du dann nur den entsprechenden Punkt auswählen.

mfg
schwedenmann

[wanne]

Ich hab noch nicht richtig verstanden welche Lösung du jetzt anstrebst.
Wenn du über IP-Tables Filtern willst, ist das die richtige Lößung:

Also ip-forward aktivieren:

Code: Alles auswählen

echo "1" > /proc/sys/net/ipv4/ip_forward

und dann entweder eine statische Route auf dem Internet-Gateway eintragen: also 10.16.1.0 ist über eth0-IP des Debian-Servers erreichbar oder MASQERADING/SNAT auf dem Debian-Server einrichten

Code: Alles auswählen

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Wenn du es über einen Proxy machen willst, dürfen die Clients ja das Internet gar nciht erreichen, sondern nur den Proxy.
PS: du weißt, das so eine Filterung jemand der wirklich durch will im normalfall nicht standhält. (Zumindest in den üblichen Implementierungen.

[edvli]

Hi Leute,

totale Verwirrung!

Hier nochmal die Angaben:

- Dsl-Modem Router Gateway 192.168.10.1

- Debian Lenny mit 2 nics
Eth0 --> 192.168.10.100 dhcp zugewiesen

Eth1 --> Nun ganz primitiv und elementar: Was für eine ip und Netzwerkmaske sollen hier eingegeben werden?
Eth0 ist online oder hat internet-Zugang.
Eth1: Wie können die wixp clients,die hinter eth01 sind, ins Internet gehen? Gleichgültig miit oder ohne proxy. Wie wo was? Auf euere Antworte bin ich angwiesen.

mfg

edvli

[DynaBlaster]

Code: Alles auswählen

echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Welches Netz eth1 verwendet ist egal, Haupptsache die ganzen XP-Clients haben als Standard-Gateway die eth1-IP des Debian-Servers angegeben. Vermutlich fehlte dir auf den XP-Clients nur ein DNS-Server, der www.google.de in 209.85.129.105 auflöst. Auch hier gibts natürlich wieder zig Wege, die möglich sind. Entweder einen eigenen DNS-Server auf dem Debian-Rechner installieren (DNSMasq, bind, ...) oder einfach 192.168.10.1 bzw. den DNS-Server deines Providers bei den XP-Clients eintragen.

[edvli]

Hey Leute,

vielend Dank Dynablaster für deine Antwort.
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Diese Befehle wurden ohne Erfolg ausgeführt. Ich muss allerdings sagen, dass die eth0 von den clients aus nicht mehr anpingbar war! Deshalb auch die Verwirrung. Ein paar mögliche Dns server Einträge wurden doch von mir getestet. Vergeblich!
Was ich aber erfolgreich gemacht habe, war die Vernetzung aller clients samt debian server über einen Switch und dabei die Eth1 ohne Kabelverbindung zu lassen. Ein Lan-Drucker ist auch am switch aber noch nicht soweit.
Soll der Drucker am debian server installiert & freigegeben werden? Oder über den Switch und jeweils die clients installiert?
Da die Clients Internet-Zugang möchte ich doch einen proxy cache server wie squid am debian lenny einrichten. Geht es?

Vielen Dank im voraus für jegliche Unterstützung.

edvli

mfg

[DynaBlaster]

Diese Befehle wurden ohne Erfolg ausgeführt. Ich muss allerdings sagen, dass die eth0 von den clients aus nicht mehr anpingbar war! Deshalb auch die Verwirrung. Ein paar mögliche Dns server Einträge wurden doch von mir getestet. Vergeblich!
Was ich aber erfolgreich gemacht habe, war die Vernetzung aller clients samt debian server über einen Switch und dabei die Eth1 ohne Kabelverbindung zu lassen.

Ja was denn nun?

Wenn du dein Setup "erfolgreich" umgebaut hast und nun alle Clients direkt über den Switch mit eth0 kommunizieren, brauchst du auch kein NAT und FORWARDING mehr. Am besten wird sein, du beschreibst nochmal deine jetzige Konfiguration. Und postes hier beispielhaft die Netzwerk-Einstellungen eines XP-Clients (IP-Adresse, Netzmaske, Gateway und DNS-Server). Am besten die Ausgabe von "ipconfig /all" und "route print" aus einer MS-DOS-Eingabeaufforderung.

Darüberhinaus bitte die Ausgaben, die dein Debian bei folgenden Befehlen ausspuckt:

ifconfig -a
route -n
iptables -L -n
iptables -t nat -L -n

[edvli]

Hallo Miteinander,

die Druckertreiber habe ich über "cups" d.h. im Browser --> localhost:631 installieren können. Das hat mich wirklich gefreut. Ich glaube, ich komme langsam voran.
Ich bräuchte ein ganz einfaches Beispiel einer Samba-Konfiguration für Heimverzeichnisse, Freigaben, logon, das user-Anlegen & die Arbeitsgruppe. Bei den Arbeitsgruppen ist mir noch nicht klar, welche Arbeitsgruppe relevant ist.
Bei mir Z.B. habe ich bei den clients msheimnetz als Arbeitsgruppe und aber bei lenny steht auch workgroup da! Welche Arbeitsgruppe sollte bei samba darauf sein!
Bei den clients möchte ich die Anmeldemaske als Standart gleich nach dem Hochfahren von xp haben, um mich bei Samba anzumelden.
Für squid usw. komme ich erst danach dazu!

Danke im voraus!

mfg

edvli

[edvli]

brauchst du auch kein NAT und FORWARDING mehr. Am besten wird sein, du beschreibst nochmal deine jetzige Konfiguration. Und postes hier beispielhaft die Netzwerk-Einstellungen eines XP-Clients (IP-Adresse, Netzmaske, Gateway und DNS-Server). Am besten die Ausgabe von "ipconfig /all" und "route print" aus einer MS-DOS-Eingabeaufforderung...

Hallo DynaBlaster,

danke für deine Antwort, die ich etwa spät gelesen habe, weil den Seitenwechsel beim forum erst spät festgestellt habe. Das hat mich eben gewundert, dass ich keine Antworten mehr bekommen habe!
Am Montag schicke ich dir die genauen Angaben zu, da die Rechner nicht bei mir sind.

Auf bald

mfg

edvli

[schwedenmann]

Hallo

Schau dir mal das HowTo an

http://lug.krems.cc/docu/samba/


Für /home Kapitel 6


Und ach ja, die namen der Wokgroup sollte in Win und Saman identisch sein, außerdem nat. muß jeder user einen Unixaccount und einen Sambaccount haben!
Ich wähle auch für win entsprechende usernamen , am besten alles kleinschreiben. user otto auf win, user otto auf linux user otto als sambauser anlegen ist schon mal nicht verkehrt.

mfg
schwedenmann

[edvli]

Hi Schwedenmann,

Danke für die Tipps.
Bin dabei die Howto zu lesen. Ausführlich und verständlich sind sie. Alles wir von mir wahrscheinlich am Montag getestet.
Auf bald

mfg

Edvli

[edvli]

Hallo
Ich wähle auch für win entsprechende usernamen , am besten alles kleinschreiben. user otto auf win, user otto auf linux user otto als sambauser anlegen ist schon mal nicht verkehrt.

mfg
schwedenmann

Hallo Zusammen,

konnte bis jetzt nur win user und samba user anlegen. Z. B. --> Gruppe: smbuser, username: beliebig und passwort smbpasswd eingegeben. Aber einen Linux user anzulegen! war nicht möglich. Wie? Es soll der gleiche Name in allen drei Systemen sein, ging es nicht.

Kann man sich bei den clients gleich statt lokal beim debian server anmelden?

Danke im voraus

edvli

mfg

[schwedenmann]

Hallo

Wie hast du den für Samba eine user xyz angelgt ?
Wie ahst du versucht, unter Linux, einen user xyz anzulegen ?
das eine hat primär mi8t dem anderen nichts zu tun.
Du mußt keine Gruppe win und gruppe samab anlegen, sondern jeweils user.

mfg
schwedenmann

[edvli]

Hallo Schwedenmann,

rasche Antwort, super!

habe vorher 2 Gruppen angelegt --> addgroup smball und addgroup smbusers.
Danach entsprechende Ordner angelegt --> mkdir /home/groupsmball
und mkdir /home/groupsmbusers.

Und die Benutzer angelegt --> useradd -g smbusers -G smball -m otto

--> chmod 700 /home/otto
--> smbpasswd -a otto

Es hat auch geklappt. Ich konnte mich vom winxp client bei lenny debian mit otto anmelden und ein Netzlaufwerk mappen.

Als ich mit useradd otto eingebeben habe, dann meldet das System, dass otto schon vorhanden ist! Habe auch -m -p probiert.

mfg

edvli

[schwedenmann]

Hallo

ich machs immer so

Erst linuxuser, dann Sambauser anlegen

adduser otto

PW eingeben

dann
smbpasswd -a otto
wieder PW für Samabuser otto eingeben

mfg
schwedenmann

[edvli]

Hallo Schwedenmann,

danke für die Antwort. Deine Erklärung ist logisch und nachvollziehbar. Ich werde wahrscheinlich von null anfangen.

--> Samba user löschen dann unix user anlegen und danach wieder wie von dir beschrieben samba user samt smbpasswd anlegen.
Das müsste dann gehen.

Auf bald

edvli

mfg