Hilfe bei server einstellung und Internet!

Dieses Thema im Forum "Internet, lokale Netzwerke und Wireless Lan" wurde erstellt von knollo45, 17.08.2006.

  1. #1 knollo45, 17.08.2006
    knollo45

    knollo45 Grünschnabel

    Dabei seit:
    17.08.2006
    Beiträge:
    6
    Zustimmungen:
    0
    Hallo ich schreib erstma was ich vorhabe :

    Also ich möchte mir einen Server mit Ubuntu erstellen, habe alle notwendigen Komponenten eingebaut, so nun mein Probleme: 1. wie komme ich ins internet (habe DSL, modem, schnittstelle eth0) über "sudo pppoeconf" geht es zwar aber kann keine pakete downloaden usw.
    2. ich möchte mit einem weiteren ubuntu rechner ins netz und einem windoof rein, was für packete brauche ich und wie muss ich das ganze einstellen.
    Ich hoffe das reicht an infos wenn nicht schreiben.
    Danke im voraus!
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 phrenicus, 17.08.2006
    phrenicus

    phrenicus Routinier

    Dabei seit:
    24.05.2006
    Beiträge:
    253
    Zustimmungen:
    0
    Ort:
    Tübingen, Germany
    Hallo,

    zu 1.: Der Reihe nach. Netzwerk-Konfiguration sauber aufsetzen, Nameserver in /etc/resolv.conf eintragen, PPPOE konfigurieren. Dann mit ifconfig -a schauen, ob die Schnittstelle dsl0 (oder ppp0) eine IP-Adresse vom Provider bekommen hat.
    zu 2.: Geht erst, wenn 1. funktioniert.

    Wenn was nicht funktioniert, poste mal die Ausgabe von ifconfig -a. Und nutz die Forensuche. Die Frage gab es hier bestimmt schon zwanzigmal.

    Gruß
     
  4. #3 knollo45, 18.08.2006
    knollo45

    knollo45 Grünschnabel

    Dabei seit:
    17.08.2006
    Beiträge:
    6
    Zustimmungen:
    0
    Hallo Dank dir also ich würde sagen 1. ist erledigt:

    eth0 Protokoll:Ethernet Hardware Adresse 00:50:BF:1D:47:92
    inet6 Adresse: fe80::250:bfff:fe1d:4792/64 Gültigkeitsbereich:Verbindung
    UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
    RX packets:36945 errors:0 dropped:0 overruns:0 frame:0
    TX packets:33031 errors:0 dropped:0 overruns:0 carrier:0
    Kollisionen:0 Sendewarteschlangenlänge:1000
    RX bytes:47553277 (45.3 MiB) TX bytes:2814165 (2.6 MiB)
    Interrupt:5 Basisadresse:0xcc00

    eth1 Protokoll:Ethernet Hardware Adresse 00:20:18:8A:2B:9B
    inet Adresse:192.168.111.1 Bcast:192.168.111.255 Maske:255.255.255.0 inet6 Adresse: fe80::220:18ff:fe8a:2b9b/64 Gültigkeitsbereich:Verbindung
    UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
    RX packets:1240314 errors:0 dropped:0 overruns:0 frame:0
    TX packets:1224324 errors:0 dropped:0 overruns:0 carrier:0
    Kollisionen:0 Sendewarteschlangenlänge:1000
    RX bytes:877113207 (836.4 MiB) TX bytes:92948189 (88.6 MiB)
    Interrupt:11 Basisadresse:0xd000

    lo Protokoll:Lokale Schleife
    LOOPBACK MTU:16436 Metric:1
    RX packets:0 errors:0 dropped:0 overruns:0 frame:0
    TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
    Kollisionen:0 Sendewarteschlangenlänge:0
    RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)

    ppp0 Protokoll:Punkt-zu-Punkt Verbindung
    inet Adresse:88.73.183.28 P-z-P:88.73.176.1 Maske:255.255.255.255
    UP PUNKTZUPUNKT RUNNING NOARP MULTICAST MTU:1492 Metric:1
    RX packets:36781 errors:0 dropped:0 overruns:0 frame:0
    TX packets:32846 errors:0 dropped:0 overruns:0 carrier:0
    Kollisionen:0 Sendewarteschlangenlänge:3
    RX bytes:46734071 (44.5 MiB) TX bytes:2077989 (1.9 MiB)

    sit0 Protokoll:IPv6-nach-IPv4
    NOARP MTU:1480 Metric:1
    RX packets:0 errors:0 dropped:0 overruns:0 frame:0
    TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
    Kollisionen:0 Sendewarteschlangenlänge:0
    RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)

    aber nu zu zweitens

    Danke schön !!!!!!!!!!!! :-)
     
  5. mcas

    mcas Routinier

    Dabei seit:
    29.12.2005
    Beiträge:
    398
    Zustimmungen:
    0
    Am besten machst du dir IPTables drauf und machst dann ein NAT. Beispiele und How-Tos findest du bei google unter den beiden Stichwörtern bestimmt genug.
     
  6. #5 NiceDay, 18.08.2006
    NiceDay

    NiceDay Aushilfe

    Dabei seit:
    17.05.2003
    Beiträge:
    1.314
    Zustimmungen:
    0
    Ort:
    Elmshorn
  7. #6 knollo45, 19.08.2006
    knollo45

    knollo45 Grünschnabel

    Dabei seit:
    17.08.2006
    Beiträge:
    6
    Zustimmungen:
    0
    Danke erstma ich versteh bloß eine befehlszeile von ihm nie:
    chmod 755 /etc/init.d/firewall
    cd /usr/sbin
    ln -s ../../etc/init.d/firewall rcfirewall
    chkconfig -a firewall
    rcfirewall start

    MFG Rico
     
  8. #7 phrenicus, 19.08.2006
    phrenicus

    phrenicus Routinier

    Dabei seit:
    24.05.2006
    Beiträge:
    253
    Zustimmungen:
    0
    Ort:
    Tübingen, Germany
    Hallo,

    Hier wird in /usr/sbin ein symbolischer Link namens "rcfirewall" angelegt, der auf ../../etc/init.d/firewall verweist. Ich glaube, das ist irgendwie SuSE-spezifisch ;-)

    Gruß
     
  9. #8 knollo45, 19.08.2006
    knollo45

    knollo45 Grünschnabel

    Dabei seit:
    17.08.2006
    Beiträge:
    6
    Zustimmungen:
    0
    Das problem was ich da jetzt habe ist das ich kein Suse mehr habe sonder Ubuntu 6.06 LTS
    geht das da genauso???

    MFG Rico
     
  10. #9 phrenicus, 19.08.2006
    phrenicus

    phrenicus Routinier

    Dabei seit:
    24.05.2006
    Beiträge:
    253
    Zustimmungen:
    0
    Ort:
    Tübingen, Germany
    Hallo,

    es ist nur ein symbolischer Link. Wichtig ist, dass das Start-/Stop-Skript in /etc/init.d liegt. Ich habe keine Ahnung, ob bei Ubuntu auch irgendwelche rc-Links in /usr/sbin angelegt werden. Ich hab grade kein Ubuntu laufen.
    Für Dich zählt nur, ob Du die Firewall mit
    Code:
    /etc/init.d/firewall start
    oder mit
    Code:
    rcfirewall start
    starten willst.

    Gruß
     
  11. #10 knollo45, 20.08.2006
    knollo45

    knollo45 Grünschnabel

    Dabei seit:
    17.08.2006
    Beiträge:
    6
    Zustimmungen:
    0
    Danke, aber (man merkt das ich noch nie lange mit Ubuntu(linux) arbeite)
    die firewall hab ich nu gehts weiter jetzt funktioniert samba wieder niemehr.
    ich kann meinen pc im netzwerk auch nicht mehr an pingen die haben keine verbindung mehr ?????
    Entweder ich bin zu blöde, oder ich übersehe was.

    MFG Rico
     
  12. #11 phrenicus, 20.08.2006
    phrenicus

    phrenicus Routinier

    Dabei seit:
    24.05.2006
    Beiträge:
    253
    Zustimmungen:
    0
    Ort:
    Tübingen, Germany
    Hallo,

    tja, Deine Firewall-Einstellungen sind wohl etwas zu strikt.
    Du hast vermutlich alles dicht gemacht. Das solltest Du nach außen hin auch, aber für das innere Interface solltest Du wohl einige Ports erlauben, wie z.B. ssh oder auch SAMBA, wenn Du es brauchst. Desgleichen ist es ziemlich unsinnig, ping-Anfragen zu verwerfen.
    Was für ein Firewall-Skript verwendest Du? Wie sind die Regeln? Kannst Du das mal posten?

    Gruß
     
  13. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  14. #12 knollo45, 22.08.2006
    knollo45

    knollo45 Grünschnabel

    Dabei seit:
    17.08.2006
    Beiträge:
    6
    Zustimmungen:
    0
    #!/bin/bash
    # ---------------------------------------------------------------------
    # Linux-iptables-Firewallskript, Copyright (c) 2006 under the GPL
    # Autogenerated by iptables Generator v1.20 (c) 2002-2005 by Harald Bertram
    # Please visit http://www.harry.homelinux.org for new versions of
    # the iptables Generator (c).
    #
    # This Script was generated by request from:
    # r.schlimpert@gmx.de on: 2006-8-20 9:21.10 MET.
    #
    # If you have questions about the iptables Generator or about
    # your Firewall-Skript feel free to take a look at out website or
    # send me an E-Mail to webmaster@harry.homelinux.org.
    #
    # My special thanks are going to Lutz Heinrich (trinitywork at hotmail dot com)
    # who made lots of Beta-Testing and gave me lots of well qualified
    # Feedback that made me able to improve the iptables Generator.
    # --------------------------------------------------------------------
    #
    ### BEGIN INIT INFO
    # Provides: IP-Paketfilter
    # Required-Start: $network $local_fs
    # Required-Stop: $local_fs
    # Default-Start: 3 5
    # Default-Stop: 0 1 2 4 6
    # Short-Description: Harry's IP-Paketfilter
    # Description: Harry's IP-Paketfilter provides reasonable
    # IP-Security for Home-Computers and small networks
    ### END INIT INFO
    #

    case "$1" in
    start)
    echo "Starte IP-Paketfilter"

    # iptables-Modul
    modprobe ip_tables
    # Connection-Tracking-Module
    modprobe ip_conntrack
    # Das Modul ip_conntrack_irc ist erst bei Kerneln >= 2.4.19 verfuegbar
    modprobe ip_conntrack_irc
    modprobe ip_conntrack_ftp

    # Tabelle flushen
    iptables -F
    iptables -t nat -F
    iptables -t mangle -F
    iptables -X
    iptables -t nat -X
    iptables -t mangle -X

    # Default-Policies setzen
    iptables -P INPUT DROP
    iptables -P OUTPUT DROP
    iptables -P FORWARD DROP

    # MY_REJECT-Chain
    iptables -N MY_REJECT

    # MY_REJECT fuellen
    iptables -A MY_REJECT -p tcp -m limit --limit 7200/h -j LOG --log-prefix "REJECT TCP "
    iptables -A MY_REJECT -p tcp -j REJECT --reject-with tcp-reset
    iptables -A MY_REJECT -p udp -m limit --limit 7200/h -j LOG --log-prefix "REJECT UDP "
    iptables -A MY_REJECT -p udp -j REJECT --reject-with icmp-port-unreachable
    iptables -A MY_REJECT -p icmp -m limit --limit 7200/h -j LOG --log-prefix "DROP ICMP "
    iptables -A MY_REJECT -p icmp -j DROP
    iptables -A MY_REJECT -m limit --limit 7200/h -j LOG --log-prefix "REJECT OTHER "
    iptables -A MY_REJECT -j REJECT --reject-with icmp-proto-unreachable

    # MY_DROP-Chain
    iptables -N MY_DROP
    iptables -A MY_DROP -m limit --limit 7200/h -j LOG --log-prefix "PORTSCAN DROP "
    iptables -A MY_DROP -j DROP

    # Alle verworfenen Pakete protokollieren
    iptables -A INPUT -m state --state INVALID -m limit --limit 7200/h -j LOG --log-prefix "INPUT INVALID "
    iptables -A OUTPUT -m state --state INVALID -m limit --limit 7200/h -j LOG --log-prefix "OUTPUT INVALID "

    # Korrupte Pakete zurueckweisen
    iptables -A INPUT -m state --state INVALID -j DROP
    iptables -A OUTPUT -m state --state INVALID -j DROP

    # Stealth Scans etc. DROPpen
    # Keine Flags gesetzt
    iptables -A INPUT -p tcp --tcp-flags ALL NONE -j MY_DROP

    # SYN und FIN gesetzt
    iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j MY_DROP

    # SYN und RST gleichzeitig gesetzt
    iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j MY_DROP

    # FIN und RST gleichzeitig gesetzt
    iptables -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j MY_DROP

    # FIN ohne ACK
    iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j MY_DROP

    # PSH ohne ACK
    iptables -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j MY_DROP

    # URG ohne ACK
    iptables -A INPUT -p tcp --tcp-flags ACK,URG URG -j MY_DROP

    # Loopback-Netzwerk-Kommunikation zulassen
    iptables -A INPUT -i lo -j ACCEPT
    iptables -A OUTPUT -o lo -j ACCEPT

    # Connection-Tracking aktivieren
    iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

    # HTTP
    iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 80 -j ACCEPT

    # HTTPS
    iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 443 -j ACCEPT

    # POP3
    iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 110 -j ACCEPT

    # POP3S
    iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 995 -j ACCEPT

    # FTP
    iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 21 -j ACCEPT

    # SSH
    iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 22 -j ACCEPT

    # EDONKEY
    iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 4661 -j ACCEPT
    iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 4662 -j ACCEPT
    iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 4663 -j ACCEPT
    iptables -A INPUT -i ppp0 -m state --state NEW -p udp --dport 4665 -j ACCEPT

    # ICMP Echo-Request (ping) zulassen und beantworten
    iptables -A INPUT -m state --state NEW -p icmp --icmp-type echo-request -j ACCEPT

    # Default-Policies mit REJECT
    iptables -A INPUT -j MY_REJECT
    iptables -A OUTPUT -j MY_REJECT

    # Masquerading
    iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

    # SYN-Cookies
    echo 1 > /proc/sys/net/ipv4/tcp_syncookies 2> /dev/null

    # Stop Source-Routing
    for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/accept_source_route 2> /dev/null; done

    # Stop Redirecting
    for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/accept_redirects 2> /dev/null; done

    # Reverse-Path-Filter
    for i in /proc/sys/net/ipv4/conf/*; do echo 2 > $i/rp_filter 2> /dev/null; done

    # Log Martians
    for i in /proc/sys/net/ipv4/conf/*; do echo 1 > $i/log_martians 2> /dev/null; done

    # BOOTP-Relaying ausschalten
    for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/bootp_relay 2> /dev/null; done

    # Proxy-ARP ausschalten
    for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/proxy_arp 2> /dev/null; done

    # Ungültige ICMP-Antworten ignorieren
    echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses 2> /dev/null

    # ICMP Echo-Broadcasts ignorieren
    echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts 2> /dev/null

    # Max. 500/Sekunde (5/Jiffie) senden
    echo 5 > /proc/sys/net/ipv4/icmp_ratelimit

    # Speicherallozierung und -timing für IP-De/-Fragmentierung
    echo 262144 > /proc/sys/net/ipv4/ipfrag_high_thresh
    echo 196608 > /proc/sys/net/ipv4/ipfrag_low_thresh
    echo 30 > /proc/sys/net/ipv4/ipfrag_time

    # TCP-FIN-Timeout zum Schutz vor DoS-Attacken setzen
    echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout

    # Maximal 3 Antworten auf ein TCP-SYN
    echo 3 > /proc/sys/net/ipv4/tcp_retries1

    # TCP-Pakete maximal 15x wiederholen
    echo 15 > /proc/sys/net/ipv4/tcp_retries2

    ;;

    stop)
    echo "Stoppe IP-Paketfilter"
    # Tabelle flushen
    iptables -F
    iptables -t nat -F
    iptables -t mangle -F
    iptables -X
    iptables -t nat -X
    iptables -t mangle -X
    # Default-Policies setzen
    iptables -P INPUT ACCEPT
    iptables -P OUTPUT ACCEPT
    iptables -P FORWARD ACCEPT
    ;;

    status)
    echo "Tabelle filter"
    iptables -L -vn
    echo "Tabelle nat"
    iptables -t nat -L -vn
    echo "Tabelle mangle"
    iptables -t mangle -L -vn
    ;;

    *)
    echo "Fehlerhafter Aufruf"
    echo "Syntax: $0 {start|stop|status}"
    exit 1
    ;;

    esac

    ich hoffe das hilft dir etwas!!

    Ich Dank dir (euch) wie verrückt für deine Hilfe!!!!
     
  15. #13 phrenicus, 22.08.2006
    phrenicus

    phrenicus Routinier

    Dabei seit:
    24.05.2006
    Beiträge:
    253
    Zustimmungen:
    0
    Ort:
    Tübingen, Germany
    Hallo,

    Junge Junge, dieses Firewall-Skript ist starker Tobak.
    Du hast daran gedacht, E-Donkey fürs Internet freizuschalten, aber den Zugriff von innen hast Du vergessen. Die Jugend von heute hat einfach andere Prioritäten :think:

    Also, zunächst mal grundsätzlich: Du hast eine Default-Policy, die alles verbietet. Soweit kann ich das nachvollziehen, das ist gute Praxis. Jetzt musst Du aber schon dafür sorgen, dass die Sachen reindürfen, die Du erlauben willst, UND DIE ANTWORTEN AUCH WIEDER RAUS DÜRFEN!
    Soweit ich beim Überfliegen gesehen habe, erlaubst Du eingehende pings und eingehende TCP-Verbindungen für http, https, pop3, pop3s, ftp (sic!) und ssh. Das ganze übrigens nur für das Interface ppp0. Für eth1 (Dein inneres Interface) ist alles verboten, von innen kommst Du also gar nicht drauf. Die Default-Policy ist DROP. Ich hab es nicht ganz durchanalysiert, aber es fehlt zumindest der Zugang von innen (und zwar komplett).

    Grundregel beim Firewall bauen mit iptables: Die speziellen Regeln kommen zuerst, die allgemeinen später.
    Ich kann mir nicht helfen, aber das Skript erscheint mir von der Reihenfolge her nicht besoners optimal. Die ganzen "echo xy > /proc/sys/net/*" sind mir zu weit hinten, das Connection Tracking dagegen zu weit vorne.

    ZUnächst solltest Du also den Zugriff von innen auf die relevanten SAMBA-Ports erlauben (ein Blick in /etc/services schadet auch nicht):

    Code:
    iptables -A INPUT -i eth1 -p tcp --dport 137 -j ACCEPT
    iptables -A INPUT -i eth1 -p udp --dport 137 -j ACCEPT
    iptables -A INPUT -i eth1 -p udp --dport 445 -j ACCEPT
    iptables -A INPUT -i eth1 -p tcp --dport 445 -j ACCEPT
    
    Der Output müsste dann auf Grund des Connection Trackings erlaubt sein.
    ssh von innen zu erlauben ist auch keine schlechte Idee (Fleißarbeit für Dich). Dafür würde ich so manches von außen verbieten, was Du erlaubt hast, z.B. FTP...

    Gruß
     
Thema:

Hilfe bei server einstellung und Internet!

Die Seite wird geladen...

Hilfe bei server einstellung und Internet! - Ähnliche Themen

  1. open server 5.0.7 netzwerkproblem und hilfestellung gesucht

    open server 5.0.7 netzwerkproblem und hilfestellung gesucht: Hallo ihr nutzer, Gleich vorneweg ich würde mich als totalen neuling im unix bereich bezeichnen und deswegen suche ich die hilfe bei euch....
  2. Hilfe bei TCP Server/Client

    Hilfe bei TCP Server/Client: Hallo zusammen. Für das Studium sollen wir ein "kleines" Perl-Script zur Socketprogrammierung schreiben. Dabei soll ein Server und ein Client...
  3. Newbi braucht hilfestellung bei Serverbackup

    Newbi braucht hilfestellung bei Serverbackup: Hallo Also ersteinmal mag ich allen Hallo sagen. Ich habe einen Server bei OVH. Dorf bekommt man auch einen backupserver bereitgestellt....
  4. Debian Server mit Virtualbox hilfe kann nicht auf Putty Connecten :(

    Debian Server mit Virtualbox hilfe kann nicht auf Putty Connecten :(: Hallo liebe Unixboard Community :) , Ich hoffe ihr könnt mir vielleicht helfen, Ich hab auf meinem Win7 Laptop das Programm Virtualbox...
  5. Homeserver auf OpenSolaris Basis im Aufbau [Hilfe]

    Homeserver auf OpenSolaris Basis im Aufbau [Hilfe]: Hallo Leute! Ich bin ein ziemlicher Anfänger in der UNIX-Welt. Ich bin gerade dabei, mit dieser Anleitung...