PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : nur dns



aton
19.10.2006, 01:02
ich habe folgende konfiguration:

http://semtex.labs.pulltheplug.org/pics/airport.png


das in der mitte ist ein router mit 2 netzwerkadaptern, eth0 (192.168.0.33) und eth1 (192.168.1.33).

auf host A muss ich wahrscheinlich 192.168.0.33 als default gateway eintragen?

was muss ich auf dem router machen, dass das klappt?

gruss, aton

theton
19.10.2006, 03:37
Die Routen entsprechend setzen (siehe 'man route'), IP-Forwarding aktivieren



echo 1 > /proc/sys/net/ipv4/ip_forward

und mit iptables entsprechende Regeln für die FORWARD-Chain setzen (siehe 'man iptables').

Sieht sehr nach Hausaufgaben aus. ;)

aton
19.10.2006, 16:01
ich studier medizin, das wär ne abartige hausaufgabe... das bild hab ich gemalt, um mein problem zu veranschaulichen.

deine hilfe ist ungefähr so, wie wenn ein klavierlehrer sagt: "spiel einfach korrekt das, was da auf dem blatt steht" oder ein kletterlehrer "folge den tritten und griffen zum ausstieg" :(

Lumpi
19.10.2006, 16:13
ich studier medizin, das wär ne abartige hausaufgabe... das bild hab ich gemalt, um mein problem zu veranschaulichen.

deine hilfe ist ungefähr so, wie wenn ein klavierlehrer sagt: "spiel einfach korrekt das, was da auf dem blatt steht" oder ein kletterlehrer "folge den tritten und griffen zum ausstieg" :(Hallo

Wieso das?
Theton hat dir doch gesagt was du machen musst.
1. IP-Forwarding aktivieren
2. iptables verwenden.....

Er hätte ja auch sagen können:
Schicke den Router zu mir
Ich erstelle einen KV
Ich konfiguriere dir den Router
Schick dir dann die Rechnung
Dann bekommst du den Router wieder
Oder was hast du dir vorgestellt? ;)

Gruß Lumpi

aton
19.10.2006, 16:16
also ich bin mal den griffen zum ausstieg gefolgt, hänge aber ein bisschen...

so sieht mein script für den router im moment aus:



#!/bin/sh

. /etc/functions.sh
RESTRICTED=$(nvram get wan_ifname)
OPEN=$(nvram get lan_ifname)

/root/delrules.sh

echo 1 > /proc/sys/net/ipv4/ip_forward

### FORWARDING
### (connections routed through the router)

# base case
iptables -P FORWARD DROP

# allow
iptables -A FORWARD -i \! $RESTRICTED -j ACCEPT # allow all but restricted interface

iptables -A FORWARD -i $RESTRICTED -p udp --destination-port 53 -j ACCEPT



auf host A hab ich als default gateway den router eingestellt:

route add default gw 192.168.0.33
und in die /etc/resolv.conf den anderen rechner geschrieben:

nameserver 192.168.1.4

irgendwas klappt nicht... hab ich was vergessen?

theton
19.10.2006, 21:23
Warum machst du es dir denn so komliziert? Nimm dir einen FWBuilder und erstelle die Regeln damit. Dann noch in der /etc/init.d/rc.local auf dem Router den echo-Befehl für's Forwarding einfügen und fertig. Die Regeln müssten folgenden Inhalt haben:

192.168.0.11 - der Client
- INPUT alles drop'en
- FORWARD alles drop'en
- OUTPUT alles akzeptieren (falls gewünscht kannst du dann noch eine Regel hinzufügen, die nur die Verbindung zum Router und zum DNS-Server zulässt, aber erstmal muss alles gedrop't werden)

192.168.0.33/192.168.1.33
- Erstmal eine Route von 192.168.0.33 zu 192.168.1.33 legen und Forwarding aktivieren.
- dann mit FWBuilder Regeln erstellen
- INPUT für Client und DNS-Server zulassen (ACCEPT)
- OUTPUT alles zulassen
- FORWARD für Client und DNS-Server zulassen (ACCEPT)
- MASQUERADE einstellen

192.168.1.4 - DNS-Server
- Default-Regeln einfügen (INPUT alles auf DROP, OUTPUT alles auf ACCEPT, FORWARD alles auf DROP)
- zusätzlich zu den Default-Regeln dann nur Verbindungen auf Port 53 auf ACCEPT setzen (falls gewünscht noch auf die IPs von Router und Client restrikten)

Ich gebe gern Hilfe zur Selbsthilfe, aber nur dann Fertiglösungen, wenn ich was passendes eh gerade parat habe. Für deine Anforderungen habe ich sowas aber gerade nicht da. Deswegen wirst du ein wenig selbst machen müssen. ;)

factorx
19.10.2006, 21:40
@theton:
Nur mal so ne Idee: Alles in INPUT auf DROP bei den Clients wär stark ungut, sonst erreichen Rückpakete die Rechner nicht mehr. Lieber mit Stateful-Inspection (http://wiki.linuxquestions.org/wiki/Iptables#Using_stateful_inspection) machen.

theton
19.10.2006, 21:44
@factorx: Stimmt, ich vergass einen Zusatz. für State ESTABLISHED,RELATED muss INPUT zugelassen werden damit die Rückpakete den Client erreichen.