Debian server nur im localen netzwerk ferfügbarmachen

[masterspoon]

Hallo
Ich habe 2 Rechner und einen Server die über einen switch am routerverbunden sind.
Jetzt würde ich meinen server aber gerne so einstellen das dieser nur im localen netz ferfügbar ist.
Welche möglichkeiten hätte ich.

[uname]

Da alle Rechner nur interne Adressen haben ist ein Zugriff von außen generell nicht möglich. Erreichbar ist nur der Router, der im Idealfall keine Ports freigeschaltet hat.

[Cae]

So etwas wie

Code: Alles auswählen

# iptables -I INPUT ! -s 192.0.2.0/24 -j DROP

? (Verwende das fuer dich passende Netz, sonst ist die Kiste erstmal offline...) Das ist aber grundsaetzlich eine Aufgabe der Firewall an der Netzwerkkante, nicht eines Endgeraetes im Netzwerk selbst.

Routern mit aktiviertem SNAT wird man so nicht beikommen koennen, da sie explizit das Paket umschreiben, als kaeme es von ihnen selbst. Fuer das ueblichere DNAT (aka. "Portweiterleitung") duerfte das allerdings reichen.

Du solltest praeziser sagen, was du mit "lokalen Netz" und "ferfügbar" (sic!) meinst. Broadcasts?

Gruss Cae

[wanne]

Code: Alles auswählen

iptables -I INPUT ! -s 192.0.2.0/24 -j DROP

Die Regel ist doch ziemlich sinnlos, da 192.0/16 Adressen sowieso nicht aus dem interent errecihbar sind.

[dufty]

So etwas wie

Code: Alles auswählen

# iptables -I INPUT ! -s 192.0.2.0/24 -j DROP

? (Verwende das fuer dich passende Netz, sonst ist die Kiste erstmal offline...) Das ist aber grundsaetzlich eine Aufgabe der Firewall an der Netzwerkkante, nicht eines Endgeraetes im Netzwerk selbst.

Nö, jedes network-device muss als "feindlich" angesehen werden und seis nur ein Drucker.
Paranoia fängt erst dann an, nachdem man sich gefragt hat, ob die eigene Netzwerkkarte vertrauenswürdig sei.

Die Regel ist doch ziemlich sinnlos, da 192.0/16 Adressen sowieso nicht aus dem interent errecihbar sind.

Falsch, hier liegt wohl eine Verwechslung mit 192.168/16 und/oder 192.0.2/24 und/oder 192.0.0/24 vor.

[wanne]

Falsch, hier liegt wohl eine Verwechslung mit 192.168/16 und/oder 192.0.2/24 und/oder 192.0.0/24 vor.

Ja, vergesst was ich geschrieben habe.

[masterspoon]

Also das würde so zu sagen heisen die rechner die über den switch laufen und internet zugrif haben sollen, konfiguriere ich dan mit DHCP, und den Server gebe ich eine feste Ip adresse.
Bsp
Router adresse
192.168.178.1
Pc mit internet zugrif
iface eth0 inet dhcp

und Server dan
iface eth0 inet static
address 192.168.0.1
netmask 255.255.255.0

würde dan bedeuten der Server ist vom internet aus nicht erreichbar.
Möchte ich dan allerdings mit meinen internet rechnern drauf zugreifen müste ich die adresse jewels anpassen.

Mein vorhabe ist volgendes rooter > Switch > Server,Pc1,Pc2
Der Server sol von beiden PCs aus erreichbar sein nur der Server ansich soll keine verbindung zum internet haben.

Wen ich mein netzwerk so konfigurieren würde wie oben beschrieben würde es dan ja bedeuten das entweder der PC zugang zum Internet hat oder nur zum Localen netzwerk?

[wanne]

Bessere Idee: Du gibst dem Server auch Addresse 192.168.178.201/24 (Achte darauf das die FritzBox nur Adressen bis 192.168.178.200 verteilt.) nur gibst du dem kein standardgateway. Dann darf der Server nicht in's Internet und aus dem Internet darf sowieso keiner nach 192.168/16. Die Cleints können aber alle zugreifen, weil sie im gleichen Subnetz hängen.

[dufty]

Bessere Idee: ...

Nö.
Was ich oben versucht habe zu erklären, gilt auch in umgekehrter Richtung:
Die Netzwerkgeräte (Router, Switch, ...) dürfen den hosts (Rechner, Drucker, ...) nicht vertrauen
und die Netzendgeräte ihrerseits dem Netz nicht.

Sprich, selbst wenn der Server so clever wäre und sich eigenständig die (richtige) Default-Route verpassen würde, muss der Netzaufbau so gestaltet sein, dass er dadurch immer noch nicht ins Internet gelangt.

[wanne]

Sprich, selbst wenn der Server so clever wäre und sich eigenständig die (richtige) Default-Route verpassen würde, muss der Netzaufbau so gestaltet sein, dass er dadurch immer noch nicht ins Internet gelangt.

?
Entweder da ist ein Kabel und der Server kann sich jederzeit die richtige netzwerkkonfiguration verpassen, oder da ist kein Kabel, und er kann das nicht. So einfach ist das.
Du wirst niemals durch reine Konfiguration erreichen können, das der Rechner auch nach der Umkonfiguration noch nicht erreichabar ist.

[uname]

Die Frage ist eigentlich ob der Zugriff von außen oder Zugriff von innen mit Rückpakete von außen gemeint ist. Der Zugriff von außen (auf Dienste) ist im Normalfall aufgrund der internen IP-Adressen nicht möglich. Soll der Zugriff nach außen verboten werden (wäre etwas dumm wegen Updates) brauchst du eigentlich nur die Default-Route weghauen.
Eine Firewall bringt im übrigen ähnlich wie bei Windows eher nichts. Von außen ist der Zugriff soweiso nicht möglich und bei Windows musst du z.B. dem Browser Internet erlauben. Und darüber besorgt man sich dann den Schadcode. Sehr clever. Aber auch ein Virenscanner bringt heutzutage unter Windows nicht viel. Einmal überwunden z.B. durch einen Zero-Day-Exploit und schon kaputt. Aber er meldet natürlich weiter "grün" und sagt er würde ganz artig die neuen Viren-Updates ziehen. Wer es glaubt. Tolle IT-Welt. Ach und die NSA gibt es ja auch noch.

[dufty]

Entweder da ist ein Kabel und der Server kann sich jederzeit die richtige netzwerkkonfiguration verpassen, oder da ist kein Kabel, und er kann das nicht. So einfach ist das.
Du wirst niemals durch reine Konfiguration erreichen können, das der Rechner auch nach der Umkonfiguration noch nicht erreichabar ist.

Nö, die Zauberwörter heißen, VLANs, ACLs und Inter-VLAN-Routing.
Genau für sowas wurden VLANs erfunden.
Dass sein Heim-router/-switch das evtl. nicht kann, steht auf einem anderen Blatt ...

[wanne]

Genau für sowas wurden VLANs erfunden.

Ja, ein portbasiertes VLAN ist wie kein Kabel. Kann auch stattdessen 2 switches nehmen. Aber ich nehme an, dass masterspoon kein VLAN-Fähigen switch hat.

[masterspoon]

Wen ich das so lehse werde ich mir wohl noch einwenig literatur über netzwerk dürchlesen müssen.
Was were empfählens wert?
Was ich schon des längerem am suchen bin ist eine anleitung über iptables.
Habe schohn einpaar gefunden die wahren aber eher weniger aufschlusreich.
Mich würde interressieren wie man kommplett alle ports schliest und dan schritweise die ports öfnet die gebraucht werden.

[wanne]

Was ich schon des längerem am suchen bin ist eine anleitung über iptables.
Habe schohn einpaar gefunden die wahren aber eher weniger aufschlusreich.

Dir hat jemand das Buzzword Firewall in den Kopf gesetzt und jetzt willst du das unbedingt haben was?
Im allgemeinen kann man routen nur als root ändern. Aber als root auch jede Firewall abstellen und/oder umgehen. => Die route (nicht) zu setzen ist immer der sicherere Weg.

Mich würde interressieren wie man kommplett alle ports schliest und dan schritweise die ports öfnet die gebraucht werden.

Dann tut fast nichts mehr: Ports sind die Adressen von Anwendungen. (Dmit der Firefox nicht die Daten von Evolution abbekommt.) Die aller meisten Anwendungen (Firefox..) nutzen mehr oder weniger zufällig einen Port, den gerade kein anderer benutzt. Machst du alles zu tut da nichts mehr. Die meisten Firewllas tun deswegen dynamisch die Ports aufmachen, die gerade genutzt werden. – Kein Kommentar zum Sinn von sowas. (Wenn man eine Adresse wählt, die es nicht gibt, wird das paket sowieso verworfen. Nur halt nicht von der Firewall sondern vom netzwkstack.)

[masterspoon]

Ich habe mein netwek dan jetz volgender maßn konfiguriert.

Server
iface eth0 inet static
address 192.168.178.205
netmask 255.255.255.0

PC
iface eth0 dhcp

und das were jetz so richtig?
Pc kann jetzt zumindest auf den Server und das Internet zugreifen.