Nieuws:

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: hulp gevraagd bij volgende configuratie  (gelezen 1909 keer)

Offline paul68

  • Lid
  • Steunpunt: Nee
hulp gevraagd bij volgende configuratie
« Gepost op: 2008/11/18, 09:03:33 »
beste
ik wil het volgende voor elkaar krijgen met deze configuratie

isp <=> dlink router (ip 192.168.0.1) <=> 192.168.0.3(eth0) server192.168.1.122(eth1) <=> cable connected to lan linksys AP wireless.IP 192.168.1.1

de bedoeling is dat ik met behulp van iptables een firewall op de server ga zetten met volledige access tot alle bekende devices en voor alle onbekende devices  een beperkte access tot internet en mail

op dit moment kan ik vanaf de dlink naar de server maar niet naar eth1 en in de andere richting kan ik enkel naar eth1 en niet naar eth0.

dchp geeft netjes de gedeclareerde ip naar de laptop achter de linksys. maar krijg het maar niet voorelkaar om  het internet op te gaan met die laptop achter de linksys. hoe moet ik dat voor elkaar krijgen.

alvast bedankt voor jullie hulp

Paul

Offline desmond

  • Lid
  • Steunpunt: Nee
Re: hulp gevraagd bij volgende configuratie
« Reactie #1 Gepost op: 2008/11/18, 09:35:26 »
Je moet eerst de netwerkroutering definiƫren - heb ik te weinig verstand van.

Heb je een speciale reden voor deze configuratie? De routering is gemakkelijker in de volgende configuratie - vooropgesteld dat die aan je eisen en wensen voldoet.
isp <=> dlink router (ip 192.168.0.1) <=> 
 cable connected to lan linksys AP wireless.IP 192.168.1.1 <=> fixed ip 192.168.0.101(eth0) server
                                                           <=> dhcp laptop

waarbij je linksys AP DHCP uitgeeft in range 192.168.1.10-100

Je AP fungeert als default Gateway voor clients en de dlink router als gateway voor je AP.

De extra functies van je DLINK en Linksys kastjes moeten dan voorzien in filtering-mogelijkheden op ip-niveau.

 

Offline paul68

  • Lid
  • Steunpunt: Nee
Re: hulp gevraagd bij volgende configuratie
« Reactie #2 Gepost op: 2008/11/18, 09:39:58 »
De rede voor deze setup is een lan te creeeren voor achter de server en als oefening iptables onder de knie te krijgen

wat volgens mij de enigste rede is om het op deze manier te doen zonder dat ik de server rechtstreeks achter de isp te zetten.

wordt om veiligheids redenen afgeraden om die rechtstreeks achter de isp te hangen.
Paul

Offline paul68

  • Lid
  • Steunpunt: Nee
Re: hulp gevraagd bij volgende configuratie
« Reactie #3 Gepost op: 2008/11/20, 10:49:09 »
kan niemand me verder helpen? ???

Offline desmond

  • Lid
  • Steunpunt: Nee
Re: hulp gevraagd bij volgende configuratie
« Reactie #4 Gepost op: 2008/11/20, 15:57:44 »
Ik heb dit wel eens aan de hand gehad en ben met shorewall aan de gang gegaan, wat in wezen een front-end voor iptables is. Ik kan je aanraden hier eens naar te kijken. De eerste introductie geeft je een beeld van waar je moet starten om je routing op orde te krijgen - en welke linux-tools er onder water voor worden gebruikt. Je zou ook met Shorewall de boel kunnen configureren en de resulterende iptables configuratie als uitgangspunt kunnen nemen voor je studie.

http://www.shorewall.net/
(er zullen ongetwijfeld alternatieven zijn...)

Offline paul68

  • Lid
  • Steunpunt: Nee
Re: hulp gevraagd bij volgende configuratie
« Reactie #5 Gepost op: 2008/11/20, 20:19:00 »
desmond iemand zou mij helpen maar die heb ik sindsdien nietmeer gehoord :-(
dus ik zit een beetje op mijn honger en kom niet verder

Offline rja

  • Lid
  • Steunpunt: Nee
Re: hulp gevraagd bij volgende configuratie
« Reactie #6 Gepost op: 2008/11/21, 16:07:34 »
Dat je niet naar de andere netwerk gaat ligt waarschijnlijk aan forwarding.

sudo echo 1 > /proc/sys/net/ipv4/ip_forward

als je dat permanent wilt maken moet je /etc/sysctl.conf aanpassen als root - sudo gedit /etc/sysctl.conf.

Iptables is niet echt makkelijk voor een beginner.

Je zou shorewall kunnen gebruiken zoals eerder gesuggereerd die kun je installeren via Synaptic.

Hier een howto.

http://www.debianhelp.co.uk/shorewall.htm

Offline paul68

  • Lid
  • Steunpunt: Nee
Re: hulp gevraagd bij volgende configuratie
« Reactie #7 Gepost op: 2008/11/21, 21:58:48 »
ik denk dat we een klein beetje afdwalen.

de iptables is mijn 2de zorg de eerste zorg is dat ik alles achter eth1 en linksys aan de praat krijg, dat lukt mij op dit moment niet als ik de linksys via de lanpoort met eth1 verbind.
dat zou ik eerst opgelost willen hebben

Offline rja

  • Lid
  • Steunpunt: Nee
Re: hulp gevraagd bij volgende configuratie
« Reactie #8 Gepost op: 2008/11/21, 22:37:40 »
Heb je forward aangezet, zoals ik voorgesteld heb ?

Anders werkt de Ubuntu computer niet als router

Offline paul68

  • Lid
  • Steunpunt: Nee
Re: hulp gevraagd bij volgende configuratie
« Reactie #9 Gepost op: 2008/11/22, 10:36:12 »
die forward staat aan, die wordt opgestart via dit script(zie hieronder); wanneer ik de server (re)boot staat in de interfaces file.
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth0
iface eth0 inet static
pre-up /root/forwarding.sh

address 192.168.0.122
netmask 255.255.255.0
broadcast 192.168.0.255
gateway 192.168.0.1
metric 0
pre-up iptables-restore < /etc/iptables.rules
post-down iptables-save -c > /etc/iptables.rules


auto eth1
iface eth1 inet static
address 192.168.3.22
netmask 255.255.255.0
network 192.168.3.0
broadcast 192.168.3.254


en de forwarding.sh staat hieronder
#!/bin/sh
IPTABLES=/sbin/iptables
###flush excisting rules and set chain policy setting to DROP

echo "[+] Flushing excisting iptables rules....."

$IPTABLES -F
$IPTABLES -F -t nat

$IPTABLES -P FORWARD DROP

### ACCEPT rules
echo "[+] Add Accepting rules....."
$IPTABLES -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -i eth1 -o eth0 -j ACCEPT

#####  NAT rules #####

echo "[+] Setting up NAT rules..."

$IPTABLES -t nat -A POSTROUTING -o eth0 -j MASQUERADE

##### IP FORWARDING #####

echo "[+] Enabling IP Forwarding..."
echo 1 > /proc/sys/net/ipv4/ip_forward

cat /proc/sys/net/ipv4/ip_forward

echo "[+] All rules succesfully enabled..."

hetgeen dat ik gek vindt is dat ik tijdens het boot process nergens een melding krijg dat alles werkt, maar alles wordt wel uitgevoerd, omdat ik anders niet op het internet geraak.

nu als ik mijn linksys via lan connecteer krijgt hij geen ip adress van mijn dhcp server zou dat een rede kunnen zijn dat ik op dit moment verplicht ben om via de wanpoort van de linksys te gaan?

dit is mijn dhcp config

subnet 192.168.3.0 netmask 255.255.255.0 {
  option domain-name "carrebeanpirates.homedns.org";
  option domain-name-servers 195.130.130.130,195.130.192.162;
  option routers 192.168.3.22;

 
  #range for unknown devices
  range 192.168.3.130 192.168.3.140;
 

  host laptop-paul {
    hardware ethernet 00:16:36:79:F7:15;
    fixed-address 192.168.3.26;
  }
  host Desktop-paul {
    hardware ethernet 00:1E:8C:50:41:BC;
    fixed-address 192.168.3.27;
  }
  host laptop-Anne-France {
    hardware ethernet 00:1B:63:92:40:F6;
    fixed-address 192.168.3.28;
  }
   #range for unknown devices
  range 192.168.3.200 192.168.3.210;
 
 #range for known wireless devices
  host laptop-paulw {
    hardware ethernet 00:16:CF:44:AD:AC;
    fixed-address 192.168.3.40;
  }
  host desktop-paulw {
    hardware ethernet 00:1E:E5:9D:14:6C;
    fixed-address 192.168.3.41;
  }
   host mac-anne-francew {
    hardware ethernet 00:1B:63:C2:56:14;
    fixed-address 192.168.3.42;
  }
   host printer {
    hardware ethernet 00:1B:78:DB:5F:91;
    fixed-address 192.168.3.43;
  }
}

linksys dient vooral om de wifi te bedienen

dit is het schema van mijn netwerk
http://pv-global-it.com/brol/network_layout.JPG



Offline rja

  • Lid
  • Steunpunt: Nee
Re: hulp gevraagd bij volgende configuratie
« Reactie #10 Gepost op: 2008/11/23, 09:13:41 »
Waarom zit de ethernet op  wan poort van de Linksys, daarop zal standaard ook een firewall zitten, die dingen kan tegenhouden.

Er kan maar een dhcp server in een lan zijn.

Daarnaast zou ik de firewall op de server tijdelijk disablen, zo kun je bepalen of daar het probleem zit.
https://help.ubuntu.com/community/IptablesHowTo#Disabling%20the%20firewall

Offline paul68

  • Lid
  • Steunpunt: Nee
Re: hulp gevraagd bij volgende configuratie
« Reactie #11 Gepost op: 2008/11/23, 10:05:04 »
rja,
op dit moment wordt enkel die forwarding regels gebruikt dat is alles wat er aan firewall draaid achter de dlink router. de bedoeling is dat de linksys als switch/wireless accesspoint werkt en dat enkel miijn server de dhcp regelt op de 2de nic van de server en alle wireless devices achter de linksys

moet ik om dit voorelkaar te krijgen de linksys via mijn dhcp laten voorzien van ip of zou dit mijn probleem niet oplossen?

Offline rja

  • Lid
  • Steunpunt: Nee
Re: hulp gevraagd bij volgende configuratie
« Reactie #12 Gepost op: 2008/11/24, 19:15:17 »
moet ik om dit voorelkaar te krijgen de linksys via mijn dhcp laten voorzien van ip of zou dit mijn probleem niet oplossen?
Die Linksys router heeft toch een heel ander netwerk adres ?

Dhcp server staat toch al aan voor dat segment. - 192.168.1.x

Twee dhcp servers in een netwerk, daarmee kun je problemen krijgen.

Ik zou een segment opheffen 192.168.1.x of 192.168.3.x

Gewoon de server ethernet  aansluiten op de linksys in een normale switch poort en niet in de wanpoort en de default gateway op de server zetten.

Offline paul68

  • Lid
  • Steunpunt: Nee
Re: hulp gevraagd bij volgende configuratie
« Reactie #13 Gepost op: 2008/11/25, 07:10:34 »
rja
het is me gelukt,
was ergens nog een optie in die linksys vergeten af te zetten en nu werkt dit gedeelte toch al.

nu zit ik bij de iptables met het volgende probleem

dit is mijn script

http://paste.ubuntu.com/76692/

dit zijn de foutmeldingen die ik krijg

http://paste.ubuntu.com/76690/

terwijl de opties die aangehaald worden als zijnde niet correct toch in de man pages vermeld worden

heeft iemand een idee hoe ik dit op kan lossen


Offline paul68

  • Lid
  • Steunpunt: Nee
[solved]Re: hulp gevraagd bij volgende configuratie
« Reactie #14 Gepost op: 2008/11/25, 15:49:49 »
probleem opgelost
bedankt voor jullie hulp

Paul