nur dns

Dieses Thema im Forum "Firewalls" wurde erstellt von aton, 19.10.2006.

  1. aton

    aton Grünschnabel

    Dabei seit:
    19.10.2006
    Beiträge:
    3
    Zustimmungen:
    0
    ich habe folgende konfiguration:

    [​IMG]


    das in der mitte ist ein router mit 2 netzwerkadaptern, eth0 (192.168.0.33) und eth1 (192.168.1.33).

    auf host A muss ich wahrscheinlich 192.168.0.33 als default gateway eintragen?

    was muss ich auf dem router machen, dass das klappt?

    gruss, aton
     
  2. Anzeige

    Schau dir mal diesen Ratgeber an. Viele Antworten inkl. passender Shell-Befehle!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. theton

    theton Bitmuncher

    Dabei seit:
    27.05.2004
    Beiträge:
    4.820
    Zustimmungen:
    0
    Ort:
    Berlin, Germany
    Die Routen entsprechend setzen (siehe 'man route'), IP-Forwarding aktivieren

    Code:
    echo 1 > /proc/sys/net/ipv4/ip_forward
    
    und mit iptables entsprechende Regeln für die FORWARD-Chain setzen (siehe 'man iptables').

    Sieht sehr nach Hausaufgaben aus. ;)
     
  4. aton

    aton Grünschnabel

    Dabei seit:
    19.10.2006
    Beiträge:
    3
    Zustimmungen:
    0
    ich studier medizin, das wär ne abartige hausaufgabe... das bild hab ich gemalt, um mein problem zu veranschaulichen.

    deine hilfe ist ungefähr so, wie wenn ein klavierlehrer sagt: "spiel einfach korrekt das, was da auf dem blatt steht" oder ein kletterlehrer "folge den tritten und griffen zum ausstieg" :(
     
  5. Lumpi

    Lumpi Haudegen

    Dabei seit:
    14.06.2006
    Beiträge:
    663
    Zustimmungen:
    0
    Ort:
    Dessau
    Hallo

    Wieso das?
    Theton hat dir doch gesagt was du machen musst.
    1. IP-Forwarding aktivieren
    2. iptables verwenden.....

    Er hätte ja auch sagen können:
    Oder was hast du dir vorgestellt? ;)

    Gruß Lumpi
     
  6. aton

    aton Grünschnabel

    Dabei seit:
    19.10.2006
    Beiträge:
    3
    Zustimmungen:
    0
    also ich bin mal den griffen zum ausstieg gefolgt, hänge aber ein bisschen...

    so sieht mein script für den router im moment aus:

    Code:
    #!/bin/sh
    
    . /etc/functions.sh
    RESTRICTED=$(nvram get wan_ifname)
    OPEN=$(nvram get lan_ifname)
    
    /root/delrules.sh
    
    echo 1 > /proc/sys/net/ipv4/ip_forward
    
    ### FORWARDING
    ### (connections routed through the router)
    
      # base case
      iptables -P FORWARD DROP 
    
      # allow
      iptables -A FORWARD -i \! $RESTRICTED   -j ACCEPT       # allow all but restricted interface
      
      iptables -A FORWARD -i $RESTRICTED -p udp --destination-port 53 -j ACCEPT
       
    
    auf host A hab ich als default gateway den router eingestellt:
    Code:
    route add default gw 192.168.0.33
    und in die /etc/resolv.conf den anderen rechner geschrieben:
    Code:
    nameserver 192.168.1.4
    irgendwas klappt nicht... hab ich was vergessen?
     
  7. theton

    theton Bitmuncher

    Dabei seit:
    27.05.2004
    Beiträge:
    4.820
    Zustimmungen:
    0
    Ort:
    Berlin, Germany
    Warum machst du es dir denn so komliziert? Nimm dir einen FWBuilder und erstelle die Regeln damit. Dann noch in der /etc/init.d/rc.local auf dem Router den echo-Befehl für's Forwarding einfügen und fertig. Die Regeln müssten folgenden Inhalt haben:

    192.168.0.11 - der Client
    - INPUT alles drop'en
    - FORWARD alles drop'en
    - OUTPUT alles akzeptieren (falls gewünscht kannst du dann noch eine Regel hinzufügen, die nur die Verbindung zum Router und zum DNS-Server zulässt, aber erstmal muss alles gedrop't werden)

    192.168.0.33/192.168.1.33
    - Erstmal eine Route von 192.168.0.33 zu 192.168.1.33 legen und Forwarding aktivieren.
    - dann mit FWBuilder Regeln erstellen
    - INPUT für Client und DNS-Server zulassen (ACCEPT)
    - OUTPUT alles zulassen
    - FORWARD für Client und DNS-Server zulassen (ACCEPT)
    - MASQUERADE einstellen

    192.168.1.4 - DNS-Server
    - Default-Regeln einfügen (INPUT alles auf DROP, OUTPUT alles auf ACCEPT, FORWARD alles auf DROP)
    - zusätzlich zu den Default-Regeln dann nur Verbindungen auf Port 53 auf ACCEPT setzen (falls gewünscht noch auf die IPs von Router und Client restrikten)

    Ich gebe gern Hilfe zur Selbsthilfe, aber nur dann Fertiglösungen, wenn ich was passendes eh gerade parat habe. Für deine Anforderungen habe ich sowas aber gerade nicht da. Deswegen wirst du ein wenig selbst machen müssen. ;)
     
  8. #7 factorx, 19.10.2006
    factorx

    factorx Tripel-As

    Dabei seit:
    12.10.2005
    Beiträge:
    227
    Zustimmungen:
    0
    @theton:
    Nur mal so ne Idee: Alles in INPUT auf DROP bei den Clients wär stark ungut, sonst erreichen Rückpakete die Rechner nicht mehr. Lieber mit Stateful-Inspection machen.
     
  9. theton

    theton Bitmuncher

    Dabei seit:
    27.05.2004
    Beiträge:
    4.820
    Zustimmungen:
    0
    Ort:
    Berlin, Germany
    @factorx: Stimmt, ich vergass einen Zusatz. für State ESTABLISHED,RELATED muss INPUT zugelassen werden damit die Rückpakete den Client erreichen.
     
Thema:

nur dns