Debian Server als Netzwerkverwaltungsserver
Debian Server als Netzwerkverwaltungsserver
Hallo.
Ich habe folgende Netzwerke:
192.150.160.0/24 (Netz soll für interne Zwecke genutzt werden)
192.150.160.1 <= Internetrouter
192.150.160.2 <= eht0 beim Server
192.150.160.3-49 <= diverse andere Netzwerkgeräte
192.150.160.50-100 <= Clients mit DNS Server auf 192.150.160.2 und Gateway auf 192.150.160.1
192.150.170.0/24 (Gästenetz, die Clients werden vom WLAN Accesspoint gegeneinander gesperrt)
192.150.170.1 <= eth1 beim Server
192.150.170.10-100 <= Clients DNS Server wird auf 192.150.170.1 und Gateway auf 192.150.170.1 gesetzt
Im 160er Netz funktioniert alles einwandfrei. Ich möchte nun, dass die 170er Clients Internetzugriff über den 192.150.170.1 auf den Internetrouter 192.150.160.1 bekommen. Die dürfen aber nicht mit den anderen Geräte aus dem 160er Netz sprechen dürfen.
Ich habe das ganze vor einigen Monaten am Laufen gehabt. Nach dem Neustart waren aber die routen weg.
IpForwarding ist eingeschaltet. Wer kann mir mit Befehlen für iptables helfen?
Freundliche Grüße
Daniel
Ich habe folgende Netzwerke:
192.150.160.0/24 (Netz soll für interne Zwecke genutzt werden)
192.150.160.1 <= Internetrouter
192.150.160.2 <= eht0 beim Server
192.150.160.3-49 <= diverse andere Netzwerkgeräte
192.150.160.50-100 <= Clients mit DNS Server auf 192.150.160.2 und Gateway auf 192.150.160.1
192.150.170.0/24 (Gästenetz, die Clients werden vom WLAN Accesspoint gegeneinander gesperrt)
192.150.170.1 <= eth1 beim Server
192.150.170.10-100 <= Clients DNS Server wird auf 192.150.170.1 und Gateway auf 192.150.170.1 gesetzt
Im 160er Netz funktioniert alles einwandfrei. Ich möchte nun, dass die 170er Clients Internetzugriff über den 192.150.170.1 auf den Internetrouter 192.150.160.1 bekommen. Die dürfen aber nicht mit den anderen Geräte aus dem 160er Netz sprechen dürfen.
Ich habe das ganze vor einigen Monaten am Laufen gehabt. Nach dem Neustart waren aber die routen weg.
IpForwarding ist eingeschaltet. Wer kann mir mit Befehlen für iptables helfen?
Freundliche Grüße
Daniel
Re: Debian Server als Netzwerkverwaltungsserver
Da du bis zum Neustart alles "am Laufen hattest" benötigst du offenbar das dauerhafte Speichern, alles andere verrät dir Vorwissen, Notizen dazu und dein Backup: https://www.thomas-krenn.com/de/wiki/Ip ... _speichernscretchy hat geschrieben:26.04.2018 20:16:58Ich habe das ganze vor einigen Monaten am Laufen gehabt. Nach dem Neustart waren aber die routen weg.
IpForwarding ist eingeschaltet. Wer kann mir mit Befehlen für iptables helfen?
https://debian-blog.org/iptables-dauerhaft-speichern/
usw.
Routen sind was anderes als Paketfilter. Egal ob weg oder da.
Wer kann mir mit Befehlen für iptables helfen?
https://de.wikibooks.org/wiki/Linux-Pra ... e_Begriffe
Zuletzt geändert von BenutzerGa4gooPh am 26.04.2018 21:07:23, insgesamt 2-mal geändert.
Re: Debian Server als Netzwerkverwaltungsserver
Hallo Jana,
das ist schonmal ein guter Tipp. Werde ich dann so einrichten.
Ja, ich hatte die Sache am laufen. Hab damals nen ganzen Vormittag an der Sache gesessen. Wäre nett, wenn mir einer die entsprechenden Befehle zusammenschreiben könnte.
Freundliche Grüße
Daniel
das ist schonmal ein guter Tipp. Werde ich dann so einrichten.
Ja, ich hatte die Sache am laufen. Hab damals nen ganzen Vormittag an der Sache gesessen. Wäre nett, wenn mir einer die entsprechenden Befehle zusammenschreiben könnte.
Freundliche Grüße
Daniel
Re: Debian Server als Netzwerkverwaltungsserver
Weil anderer Leute (Lebens-/Frei-) Zeit weniger wert ist als deine? Steh am Samstag früh auf, dann bist du zum Mittagessen fertig - wenn stimmt, was du sagst.scretchy hat geschrieben:26.04.2018 21:00:04Hab damals nen ganzen Vormittag an der Sache gesessen. Wäre nett, wenn mir einer die entsprechenden Befehle zusammenschreiben könnte.
Wieso über 2 Interfaces des wohl gleichen Routers? 170er Clients -> GW 192.150.170.1 -> Internet und gut!?Ich möchte nun, dass die 170er Clients Internetzugriff über den 192.150.170.1 auf den Internetrouter 192.150.160.1 bekommen.
Zuletzt geändert von BenutzerGa4gooPh am 26.04.2018 21:14:44, insgesamt 2-mal geändert.
- heisenberg
- Beiträge: 3565
- Registriert: 04.06.2015 01:17:27
- Lizenz eigener Beiträge: MIT Lizenz
Re: Debian Server als Netzwerkverwaltungsserver
Die Netze 192.150.160.0/24 und 192.150.170.0/24 sind Teil des öffentlichen IP-Bereiches des Internets. Wenn Du die in Deinem LAN verwendest, kannst Du diese (kleinen) Teile des Internets nicht erreichen.
Für lokale Zwecke sind z. B. vorgesehen:
192.168.1.0/24 - 192.168.255.0/24
Siehe: Wikipedia: Private Adressbereiche
Für lokale Zwecke sind z. B. vorgesehen:
192.168.1.0/24 - 192.168.255.0/24
Siehe: Wikipedia: Private Adressbereiche
Jede Rohheit hat ihren Ursprung in einer Schwäche.
Re: Debian Server als Netzwerkverwaltungsserver
So war das auch nicht gemeint. Jeder macht das was er kann. Für einen Profi von euch sind das vermutlich 3 Minuten tippen. Für mich nen halben Tag rumprobieren... Jeder hat seine stärken. Meine liegen woanders. Trotzdem muss ich mich mit dem Thema beschäftigen. Sollte jemand die Antwort vergütet haben wollen, schickt mir ne PM mit einer Preisvorstellung.Jana66 hat geschrieben:26.04.2018 21:04:55Weil anderer Leute (Lebens-/Frei-) Zeit weniger wert ist als deine? Steh am Samstag früh auf, dann bist du zum Mittagessen fertig - wenn stimmt, was du sagst.scretchy hat geschrieben:26.04.2018 21:00:04Hab damals nen ganzen Vormittag an der Sache gesessen. Wäre nett, wenn mir einer die entsprechenden Befehle zusammenschreiben könnte.
Das ist mir bekannt, und damit kann ich leben. Das Netzwerk ist seit Jahren so aufgebaut und wird im Moment nicht daran geändert.heisenberg hat geschrieben:26.04.2018 21:10:14Die Netze 192.150.160.0/24 und 192.150.170.0/24 sind Teil des öffentlichen IP-Bereiches des Internets. Wenn Du die in Deinem LAN verwendest, kannst Du diese (kleinen) Teile des Internets nicht erreichen.
Für lokale Zwecke sind z. B. vorgesehen:
192.168.1.0/24 - 192.168.255.0/24
Siehe: Wikipedia: Private Adressbereiche
Freundliche Grüße
Daniel
Re: Debian Server als Netzwerkverwaltungsserver
192.150.160.1 ist eine FritzBox.Jana66 hat geschrieben:26.04.2018 21:04:55Wieso über 2 Interfaces des wohl gleichen Routers? 170er Clients -> GW 192.150.170.1 -> Internet und gut!?Ich möchte nun, dass die 170er Clients Internetzugriff über den 192.150.170.1 auf den Internetrouter 192.150.160.1 bekommen.
192.150.160.2 ist eth0 von einem Debian Server
192.150.170.1 ist eth1 von dem selben Debian Server.
An eth0 hängt mein Internes Netz inkl. dem Internetrouter.
An eth1 hängt ein kleines Netz für Gäste. Das soll einfach nur zu 192.150.160.1 auf eht0 durchgereicht werden.
Freundliche Grüße
Daniel
Re: Debian Server als Netzwerkverwaltungsserver
Mit NAT/PAT dürfte rein technisch gesehen sogar das in abgehender Richtung klappen - ist aber unsauber. Hast schon Recht!heisenberg hat geschrieben:26.04.2018 21:10:14Die Netze 192.150.160.0/24 und 192.150.170.0/24 sind Teil des öffentlichen IP-Bereiches des Internets. Wenn Du die in Deinem LAN verwendest, kannst Du diese (kleinen) Teile des Internets nicht erreichen.
Gut dass wir nun endlich Wichtiges wissen.192.150.160.1 ist eine FritzBox.
192.150.160.2 ist eth0 von einem Debian Server
192.150.170.1 ist eth1 von dem selben Debian Server.
Zuletzt geändert von BenutzerGa4gooPh am 26.04.2018 21:27:46, insgesamt 1-mal geändert.
- heisenberg
- Beiträge: 3565
- Registriert: 04.06.2015 01:17:27
- Lizenz eigener Beiträge: MIT Lizenz
Re: Debian Server als Netzwerkverwaltungsserver
Kommt mir irgendwie bekannt vor. Hatte ich als Anfrage eines Wirtschaftsinformatikers auf dem Tisch: Kannst Du mir diese Datenbank da mal machen? Das ist doch für Dich nur eine Fingerübung!Scretchy hat geschrieben:So war das auch nicht gemeint. Jeder macht das was er kann. Für einen Profi von euch sind das vermutlich 3 Minuten tippen.
Du vergißt dass jeder Mensch egoistisch ist und mit dem, was er tut ein Ziel verfolgt. Vielleicht findest Du ja hier jemanden, der Wertschätzung für diese Fingerübung von Dir als sein Ziel hat.
Eines meiner Ziele hier ist, Menschen zu unterstützen, die selbst lernen wollen. D. h. bei mir hast Du da schlechte Karten.
Ansonsten spricht aus dieser Aussage, die bei Laien(hier zum Thema Linux/Netzwerk) die Komplexität und der Zeitaufwand zu eigenen Gunsten gerne als gering eingeschätzt wird, eine meist deutliche Fehleinschätzung.
Eher nicht. Netze die als lokal betrachtet werden, gehen nicht über das IP-Gateway. Höchstens wenn ein HTTP-Proxy im Spiel ist, der die Netze selbst nicht sieht, z. B. weil Sie durch NAT von dem Proxy verborgen sind.Jana66 hat geschrieben:Mit NAT/PAT dürfte rein technisch gesehen sogar das in abgehender Richtung klappen - ist aber unsauber. Hast schon Recht!
Jede Rohheit hat ihren Ursprung in einer Schwäche.
Re: Debian Server als Netzwerkverwaltungsserver
Na klar doch. Bretter, Bretter, Bretter vor meinem Kopf. Louis de Funes?heisenberg hat geschrieben:26.04.2018 21:27:09Netze die als lokal betrachtet werden, gehen nicht über das IP-Gateway.
Re: Debian Server als Netzwerkverwaltungsserver
Das ist nicht so, dass ich mir da keine Gedanken zu gemacht habe. Aber alle Versuche und Misserfolge hier aufzulisten wäre vermutlich der falsche Ansatz.
Dann hier mal mein Gedankengang.
Ich aktiviere IP-Forwarding, damit eingehende Pakete nicht verworfen sind, sondern weitergeleitet werden:
Ich verwende bei iptables die NAT-Tabelle
Ich fange mit iptables im Prerouting an eth1 alle eingehenden Pakete ab und ändere die Zieladresse auf die FritzBox. Hier war mein Problem, dass ich dann immer die Seite der Fritzbox angezeigt bekomme. Ist ja auch logisch. Ich will die Pakete weiterleiten und nicht die Zieladresse ändern. Hier komme ich nicht weiter. Welcher Parameter ist hier der richtige?
Ich ändere mit iptables im Postrouting an eth0 alle pakete mit Masquerade damit die Fritzbox denkt, die kommen vom Verwaltungsserver. Antworten werden dann dahin zurückgesendet.
Dann hier mal mein Gedankengang.
Ich aktiviere IP-Forwarding, damit eingehende Pakete nicht verworfen sind, sondern weitergeleitet werden:
Code: Alles auswählen
echo 1 > /proc/sys/net/ipv4/ip_forward
Ich fange mit iptables im Prerouting an eth1 alle eingehenden Pakete ab und ändere die Zieladresse auf die FritzBox. Hier war mein Problem, dass ich dann immer die Seite der Fritzbox angezeigt bekomme. Ist ja auch logisch. Ich will die Pakete weiterleiten und nicht die Zieladresse ändern. Hier komme ich nicht weiter. Welcher Parameter ist hier der richtige?
Ich ändere mit iptables im Postrouting an eth0 alle pakete mit Masquerade damit die Fritzbox denkt, die kommen vom Verwaltungsserver. Antworten werden dann dahin zurückgesendet.
Code: Alles auswählen
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
- heisenberg
- Beiträge: 3565
- Registriert: 04.06.2015 01:17:27
- Lizenz eigener Beiträge: MIT Lizenz
Re: Debian Server als Netzwerkverwaltungsserver
Wenn Du Sie wieder hinmachst, dann geht's doch wieder, oder?Scretchy hat geschrieben:Ich habe das ganze vor einigen Monaten am Laufen gehabt. Nach dem Neustart waren aber die routen weg.
Ansonsten habe ich noch nicht ganz verstanden, wie dein Setup ist. Ist es so?
Code: Alles auswählen
[Fritzbox]------(wlan)------[Eigene-WLAN-Geräte]
192.168.160.1
|
|
eth0:192.168.160.2
[Debianserver]
eth1:192.168.170.1
|
|
[WLAN-Accesspoint]
|
[WLAN-Gäste-Geräte]
Jede Rohheit hat ihren Ursprung in einer Schwäche.
Re: Debian Server als Netzwerkverwaltungsserver
Na klar gehts dann wieder. Wenn ich mir die man aufgeschrieben hätte...heisenberg hat geschrieben:26.04.2018 21:46:28Wenn Du Sie wieder hinmachst, dann geht's doch wieder, oder?Scretchy hat geschrieben:Ich habe das ganze vor einigen Monaten am Laufen gehabt. Nach dem Neustart waren aber die routen weg.
Ja die Netzwerkstruktur ist korrekt.heisenberg hat geschrieben:26.04.2018 21:46:28Code: Alles auswählen
[Fritzbox]------(wlan)------[Eigene-WLAN-Geräte] 192.168.160.1 | | eth0:192.168.160.2 [Debianserver] eth1:192.168.170.1 | | [WLAN-Accesspoint] | [WLAN-Gäste-Geräte]
- heisenberg
- Beiträge: 3565
- Registriert: 04.06.2015 01:17:27
- Lizenz eigener Beiträge: MIT Lizenz
Re: Debian Server als Netzwerkverwaltungsserver
Folgende Informationen wären hilfreich:
- Ausgabe vom Debianserver: iptables-save (iptables -t nat -L -v -n bzw. iptables -L -v -n sind übersichtlicher)
- Ausgabe vom Debianserver: netstat -nr
- Ausgabe vom Debianserver: ip a
- Ausgabe vom Debianserver: cat /proc/sys/net/ipv4/ip_forward
- Ausgabe vom Debianserver: traceroute -n 8.8.8.8
- Ausgabe vom Gäste-WLAN-Gerät: traceroute -n 8.8.8.8
- IP-Adresse des WLAN-Gäste-Gerätes?
- Antwortet die Fritzbox auf einen ping vom Debian-Server?
- Antwortet der Debianserver auf einen ping vom Gäste-WLAN-Gerät?
- Antwortet die Fritzbox auf einen ping vom Gäste-WLAN-Gerät?
Zuletzt geändert von heisenberg am 26.04.2018 22:00:38, insgesamt 2-mal geändert.
Jede Rohheit hat ihren Ursprung in einer Schwäche.
Re: Debian Server als Netzwerkverwaltungsserver
Ehe "normale Clients" vergessen werden:
DNS auf Debian-Server, Gateway = Fritzbox?! DNS auf Debian-Server ist Forwarder auf Fritzbox? Oder Resolver?192.150.160.50-100 <= Clients mit DNS Server auf 192.150.160.2 und Gateway auf 192.150.160.1
Re: Debian Server als Netzwerkverwaltungsserver
iptables-save
netstat -nr
ip a
traceroute -n 8.8.8.8 (DEB Server)
traceroute -n 8.8.8.8 (WLAN Gerät) => Reiche ich morgen nach. Komme im Moment auf kein Gerät drauf.
IP-Adresse des WLAN-Gerätes: Werden per DHCP vergeben und liegen zwischen .170.10 und .100
Die FrizBox antwortet auf einen Ping vom Deb Server
Der Deb Server antwortet auf einen Ping vom WLAN Gerät
Die FritzBox antwortet nicht auf einen Ping vom WLAN Gerät
Code: Alles auswählen
# Generated by iptables-save v1.4.21 on Thu Apr 26 21:58:49 2018
*nat
:PREROUTING ACCEPT [1104:79902]
:INPUT ACCEPT [881:65858]
:OUTPUT ACCEPT [513:36768]
:POSTROUTING ACCEPT [736:50812]
COMMIT
# Completed on Thu Apr 26 21:58:49 2018
Code: Alles auswählen
Kernel-IP-Routentabelle
Ziel Router Genmask Flags MSS Fenster irtt Iface
0.0.0.0 192.150.160.1 0.0.0.0 UG 0 0 0 eth0
192.150.160.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.150.170.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
Code: Alles auswählen
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether 00:0c:29:e5:62:f3 brd ff:ff:ff:ff:ff:ff
inet 192.150.160.2/24 brd 192.150.160.255 scope global eth0
valid_lft forever preferred_lft forever
inet6 fe80::20c:29ff:fee5:62f3/64 scope link
valid_lft forever preferred_lft forever
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether 00:0c:29:e5:62:fd brd ff:ff:ff:ff:ff:ff
inet 192.150.170.1/24 brd 192.150.170.255 scope global eth1
valid_lft forever preferred_lft forever
inet6 fe80::20c:29ff:fee5:62fd/64 scope link
valid_lft forever preferred_lft forever
Code: Alles auswählen
1 192.150.160.1 0.535 ms 0.617 ms 0.740 ms
2 213.168.223.130 64.635 ms 64.755 ms 64.728 ms
3 80.228.232.115 27.794 ms 80.228.232.113 29.240 ms 30.763 ms
4 80.228.98.141 37.003 ms 80.228.98.145 33.494 ms 35.069 ms
5 212.6.115.26 47.018 ms 212.6.115.130 49.242 ms 212.6.115.22 53.679 ms
6 72.14.223.177 56.953 ms 56.608 ms 58.054 ms
7 108.170.251.193 68.997 ms 108.170.229.95 41.650 ms 108.170.241.129 42.960 ms
8 8.8.8.8 41.792 ms 40.394 ms 39.784 ms
IP-Adresse des WLAN-Gerätes: Werden per DHCP vergeben und liegen zwischen .170.10 und .100
Die FrizBox antwortet auf einen Ping vom Deb Server
Der Deb Server antwortet auf einen Ping vom WLAN Gerät
Die FritzBox antwortet nicht auf einen Ping vom WLAN Gerät
Korrekt. Ein Lokaler DNS für interne Namensauflösungen. Wenn die Adresse lokal nicht existiert, wird Sie von der FritzBox angefordert.Jana66 hat geschrieben:26.04.2018 21:59:06Ehe "normale Clients" vergessen werden:DNS auf Debian-Server, Gateway = Fritzbox?! DNS auf Debian-Server ist Forwarder auf Fritzbox? Oder Resolver?192.150.160.50-100 <= Clients mit DNS Server auf 192.150.160.2 und Gateway auf 192.150.160.1
- heisenberg
- Beiträge: 3565
- Registriert: 04.06.2015 01:17:27
- Lizenz eigener Beiträge: MIT Lizenz
Re: Debian Server als Netzwerkverwaltungsserver
Ich habe meine Checkliste nachträglich geändert. Bitte nochmal checken.
Der folgende Befehl ist nicht aktiv. Deine iptables-Ausgabe ist leer!
Die Folge ist, dass kein NAT/MASQUERADING aktiv ist und die Antworten nicht zurück kommen können.
Führe den Befehl erneut aus. Das könnte es bereits gewesen sein.
Der folgende Befehl ist nicht aktiv. Deine iptables-Ausgabe ist leer!
Code: Alles auswählen
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Führe den Befehl erneut aus. Das könnte es bereits gewesen sein.
Jede Rohheit hat ihren Ursprung in einer Schwäche.
Re: Debian Server als Netzwerkverwaltungsserver
Das Netzwerk ist (abgesehen von öffentlichen IPs) völlig falsch aufgebaut. Korrektur:
Auf dem Debianserver kann der Zugang aus dem Gastnetz nun sehr einfach per iptables "eth0: "DENY INCOMING IP(+ICMP) ANY ANY" (sinngemäß) verboten werden. Oder man verwendet (Doppel-) NAT, gleicher Effekt.
Etwas Weiterbildung: https://www.administrator.de/wissen/kop ... html#toc-2
Wer für iptables in Verbindung mit systemd zu blöd oder zu faul ist, nutzt ufw :
Mit gufw kann man sich Regeln "Zusammenklicken".
https://wiki.ubuntuusers.de/ufw/
Kann sein, dass man Routing / IP-Forwarding (und bei Bedarf NAT, siehe oben, eigentlich unnötig) in ufw einschalten/berücksichtigen muss. Konfig, /etc/default/ufw?
ufw setzt übrigens auf iptables auf, ist nur Frontend. Irgendwo stehen die fertigen iptables ...
Falls auf deinem Debianserver nur Netzwerkdienste laufen, kannst du dir mal PFSense oder OPNSense mit nettem GUI anschauen.
https://opnsense.org/download/
Code: Alles auswählen
Internet
|
WAN: DSL
[Fritzbox mit NAT, DNS-Forwarder, statische Route auf 192.168.160.0/24]
LANx und WLAN: 192.168.170.1/24, DHCP-Pool .101 bis .249
|
GÄSTE (DNS-Server und GW = 192.168.170.1)
(geschütztes Netz hinter Debianserver nicht erreichbar)
|
eth0:192.168.170.2/24
[Debianserver mit ip-Forwarding, DNS-Forwarder auf öffentliche DNS-Server]
eth1:192.168.160.1/24, DHCP-Pool .101 bis .249
|
192.168.160.0/24 (DNS-Server und GW = 192.168.160.1)
(geschütztes Netz hinter Debian-"Firewall")
|
[WLAN-Accesspoint] -- WLAN-Clients (geschützt)
Etwas Weiterbildung: https://www.administrator.de/wissen/kop ... html#toc-2
Wer für iptables in Verbindung mit systemd zu blöd oder zu faul ist, nutzt ufw :
Code: Alles auswählen
apt-get install ufw
ufw status verbose
-> inactive
ufw disable
nano /etc/default/ufw
IPV6=no
ufw enable
Regeln allgemein:
ufw allow|deny [proto <protokoll>] [from <adresse> [port <port>]] [to <addresse> [port <port>]]
Standardregeln:
ufw default deny incoming
ufw default allow outgoing
ufw logging off
https://wiki.ubuntuusers.de/ufw/
Kann sein, dass man Routing / IP-Forwarding (und bei Bedarf NAT, siehe oben, eigentlich unnötig) in ufw einschalten/berücksichtigen muss. Konfig, /etc/default/ufw?
ufw setzt übrigens auf iptables auf, ist nur Frontend. Irgendwo stehen die fertigen iptables ...
Falls auf deinem Debianserver nur Netzwerkdienste laufen, kannst du dir mal PFSense oder OPNSense mit nettem GUI anschauen.
https://opnsense.org/download/
Zuletzt geändert von BenutzerGa4gooPh am 27.04.2018 08:45:48, insgesamt 1-mal geändert.
Re: Debian Server als Netzwerkverwaltungsserver
Guten morgen.
iptables -t nat -L -v -n
=> Nach eintrag der einen Regel: Ja
Ergebnis:
Die Gastgeräte haben jetzt Internetzugang aber auch Zugriff auf das Private Netz. An diesem Punkt hatte ich immer das Problem, den Zugang zu dem 160er Netz zu verbieten.
Eigentlich müsste man einfach im Prerouting sagen: Alle Pakete die an eth1 kommen und nach 160 wollen: DROP. Ich habe hier bisher immer mit -t nat probiert. DROP ist hier aber nicht verfügbar. Vermutlich muss ich aber die INPUT rule bemühen.? Das hat auch schon mit einer einzelnen IP geklappt, aber nicht mit einer IP-Range.
EDIT: -A INPUT -d 192.150.160.0/24 -i eht1 -j DROP brachte kein Erfolg.
Freundliche Grüße
Daniel
Ich wollte nochmal von vorne anfangen, darum sind alle einträge leer. Ich habe aber jetzt den ersten Befehl schonmal eingetragen. Hier die Nachträge:heisenberg hat geschrieben:26.04.2018 22:17:27Ich habe meine Checkliste nachträglich geändert. Bitte nochmal checken.
Der folgende Befehl ist nicht aktiv. Deine iptables-Ausgabe ist leer!
Die Folge ist, dass kein NAT/MASQUERADING aktiv ist und die Antworten nicht zurück kommen können.Code: Alles auswählen
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Führe den Befehl erneut aus. Das könnte es bereits gewesen sein.
iptables -t nat -L -v -n
cat /proc/sys/net/ipv4/ip_forwardChain PREROUTING (policy ACCEPT 447 packets, 26250 bytes)
pkts bytes target prot opt in out source destination
Chain INPUT (policy ACCEPT 433 packets, 25458 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 26 packets, 2037 bytes)
pkts bytes target prot opt in out source destination
Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
40 2829 MASQUERADE all -- * eth0 0.0.0.0/0 0.0.0.0/0
traceroute -n 8.8.8.8 (Vom Gast) (Windows tracert)1
Antwortet die Fritzbox auf einen ping vom Gäste-WLAN-Gerät?tracert 8.8.8.8
Routenverfolgung zu google-public-dns-a.google.com [8.8.8.8]
über maximal 30 Hops:
1 3 ms 3 ms 3 ms nothing.attdns.com [192.150.170.1]
2 5 ms 3 ms 3 ms fritz.box [192.150.160.1]
3 28 ms 26 ms 25 ms bng-os-10.ewe-ip-backbone.de [213.168.223.130]
4 28 ms 26 ms 26 ms bbrt-os-0-ae14.ewe-ip-backbone.de [80.228.232.115]
5 29 ms 27 ms 27 ms bbrt.owo-0-ae2.ewe-ip-backbone.de [80.228.98.141]
6 34 ms 32 ms 32 ms bbrt.hb-2-xe-1-1-0.ewe-ip-backbone.de [80.228.90.34]
7 35 ms 32 ms 32 ms bbrt.aur-1-ge-7-0-4.ewe-ip-backbone.de [80.228.98.46]
8 34 ms 33 ms 33 ms 108.170.229.95
9 35 ms 34 ms 33 ms google-public-dns-a.google.com [8.8.8.8]
=> Nach eintrag der einen Regel: Ja
Ergebnis:
Die Gastgeräte haben jetzt Internetzugang aber auch Zugriff auf das Private Netz. An diesem Punkt hatte ich immer das Problem, den Zugang zu dem 160er Netz zu verbieten.
Eigentlich müsste man einfach im Prerouting sagen: Alle Pakete die an eth1 kommen und nach 160 wollen: DROP. Ich habe hier bisher immer mit -t nat probiert. DROP ist hier aber nicht verfügbar. Vermutlich muss ich aber die INPUT rule bemühen.? Das hat auch schon mit einer einzelnen IP geklappt, aber nicht mit einer IP-Range.
EDIT: -A INPUT -d 192.150.160.0/24 -i eht1 -j DROP brachte kein Erfolg.
iptables-save
# Generated by iptables-save v1.4.21 on Fri Apr 27 08:57:43 2018
*filter
:INPUT ACCEPT [1479:139409]
:FORWARD ACCEPT [830:296317]
:OUTPUT ACCEPT [1213:119524]
-A INPUT -d 192.150.160.0/24 -i eht1 -j DROP
COMMIT
# Completed on Fri Apr 27 08:57:43 2018
# Generated by iptables-save v1.4.21 on Fri Apr 27 08:57:43 2018
*nat
:PREROUTING ACCEPT [4504:292980]
:INPUT ACCEPT [4210:270620]
:OUTPUT ACCEPT [1234:88237]
:POSTROUTING ACCEPT [2:656]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Fri Apr 27 08:57:43 2018
Freundliche Grüße
Daniel
Zuletzt geändert von scretchy am 27.04.2018 08:59:55, insgesamt 1-mal geändert.
Re: Debian Server als Netzwerkverwaltungsserver
Grundsätzlich verstehe ich deinen Vorschlag und den Aufbau. Ich habe mich damals aber gegen diesen Aufbau entschieden, da der eingesetzte Server nicht zuverlässig war. Wenn dieser ausgefallen wäre, wär das ganze Interne Netz tot.Jana66 hat geschrieben:27.04.2018 07:56:28Das Netzwerk ist (abgesehen von öffentlichen IPs) völlig falsch aufgebaut. Korrektur:Auf dem Debianserver kann der Zugang aus dem Gastnetz nun sehr einfach per iptables "eth0: "DENY INCOMING IP(+ICMP) ANY ANY" (sinngemäß) verboten werden. Oder man verwendet (Doppel-) NAT, gleicher Effekt.Code: Alles auswählen
Internet | WAN: DSL [Fritzbox mit NAT, DNS-Forwarder, statische Route auf 192.168.160.0/24] LANx und WLAN: 192.168.170.1/24, DHCP-Pool .101 bis .249 | GÄSTE (DNS-Server und GW = 192.168.170.1) (geschütztes Netz hinter Debianserver nicht erreichbar) | eth0:192.168.170.2/24 [Debianserver mit ip-Forwarding, DNS-Forwarder auf öffentliche DNS-Server] eth1:192.168.160.1/24, DHCP-Pool .101 bis .249 | 192.168.160.0/24 (DNS-Server und GW = 192.168.160.1) (geschütztes Netz hinter Debian-"Firewall") | [WLAN-Accesspoint] -- WLAN-Clients (geschützt)
Etwas Weiterbildung: https://www.administrator.de/wissen/kop ... html#toc-2
Freundliche Grüße
Daniel
Re: Debian Server als Netzwerkverwaltungsserver
Keine plausible Begründung für fehlerhaftes Design. Gastnetz könntest du auch nur mit Fritzbox und evtl. Switch realisieren, für LAN und WLAN:scretchy hat geschrieben:27.04.2018 08:47:34Ich habe mich damals aber gegen diesen Aufbau entschieden, da der eingesetzte Server nicht zuverlässig war. Wenn dieser ausgefallen wäre, wär das ganze Interne Netz tot.
https://avm.de/service/fritzbox/fritzbo ... inrichten/
https://avm.de/service/fritzbox/fritzbo ... inrichten/
Eine zusätzliche Hardware (Firewall, Server) sollte Sinn haben, schützen.
Ein absichtlich fehlerhaftes Design muss man selber beherrschen, bei Anfragen korrekt beschreiben (eigener Netzwerk-Plan) oder einfach stabile Hardware für eine zusätzliche Firewall nutzen.
- heisenberg
- Beiträge: 3565
- Registriert: 04.06.2015 01:17:27
- Lizenz eigener Beiträge: MIT Lizenz
Re: Debian Server als Netzwerkverwaltungsserver
Schema der iptables-Chains und -tablesDie Gastgeräte haben jetzt Internetzugang aber auch Zugriff auf das Private Netz. An diesem Punkt hatte ich immer das Problem, den Zugang zu dem 160er Netz zu verbieten.
Eigentlich müsste man einfach im Prerouting sagen: Alle Pakete die an eth1 kommen und nach 160 wollen: DROP. Ich habe hier bisher immer mit -t nat probiert. DROP ist hier aber nicht verfügbar. Vermutlich muss ich aber die INPUT rule bemühen.?
Filtern geht immer nur in der Filter-Table. Die Prerouting-Chain hat keine Filter-Table. Filtern geht nur in den Chains INPUT, OUTPUT und FORWARD. FORWARD ist die Stelle, an der Du gerouteten Traffic filterst.
---
Was das Setup angeht. Ja. Ist von der Privatsphäre her schon subobtimal, wie Jana das aufgezeigt hat. Das Argument, dass man da einen Server hat der nicht immer stabil ist und dass das für privat ja vollkommen ok so ist, kann ich da aber schon nachvollziehen.
Was ich mich frage, ist, ob da ein Desktoprechner als Server steht, der ja schon für einen ordentlich Batzen Geld Strom wegsaugt?
BeispielDas hat auch schon mit einer einzelnen IP geklappt, aber nicht mit einer IP-Range.
Code: Alles auswählen
iptables -A FORWARD -p tcp -i eth1 -d 192.168.160.0/24 -j REJECT
bzw. nach dem Erlaubnisprinzip
Code: Alles auswählen
iptables -A FORWARD -p tcp -i eth1 -m multiport --dports=80,443 ! -d 192.168.160.0/24 -j ACCEPT
Zuletzt geändert von heisenberg am 29.04.2018 17:51:49, insgesamt 1-mal geändert.
Jede Rohheit hat ihren Ursprung in einer Schwäche.
Re: Debian Server als Netzwerkverwaltungsserver
Hallo heisenberg.
Vielen Dank für deine Mühe. Jetzt hab ich die Geschichte mit Filter und NAT auch verstanden. Hatte eben noch schwierigkeiten mit den Standartwerten und der Reihnefolge der Regeln. Das ist nun auch klar.
Ich würde nun gerne noch als Sicherheit alle INPUT's, bis auf die DNS Anfragen zum Firewallserver aus der eth1 Schnittstelle blocken.
Folgende Tabelle hab ich jetzt
Freundliche Grüße
Daniel
Vielen Dank für deine Mühe. Jetzt hab ich die Geschichte mit Filter und NAT auch verstanden. Hatte eben noch schwierigkeiten mit den Standartwerten und der Reihnefolge der Regeln. Das ist nun auch klar.
Ich würde nun gerne noch als Sicherheit alle INPUT's, bis auf die DNS Anfragen zum Firewallserver aus der eth1 Schnittstelle blocken.
Folgende Tabelle hab ich jetzt
Wo ist der Fehler, dass keine DNS Anfragen aus dem eth1 Netz beantwortet werden?# Generated by iptables-save v1.4.21 on Sun Apr 29 17:16:58 2018
*filter
:INPUT DROP [149:10648]
:FORWARD ACCEPT [59:14530]
:OUTPUT ACCEPT [279:30179]
-A INPUT -i eth0 -j ACCEPT
-A INPUT -d 192.150.170.1/32 -i eht1 -p udp -m udp --sport 1024:65535 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -d 192.150.170.1/32 -i eht1 -p udp -m udp --sport 53 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.150.160.0/24 -i eth1 -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Sun Apr 29 17:16:58 2018
# Generated by iptables-save v1.4.21 on Sun Apr 29 17:16:58 2018
*nat
:PREROUTING ACCEPT [104643:7069381]
:INPUT ACCEPT [99385:6675818]
:OUTPUT ACCEPT [32476:2340931]
:POSTROUTING ACCEPT [150:46716]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Sun Apr 29 17:16:58 2018
Freundliche Grüße
Daniel
Re: Debian Server als Netzwerkverwaltungsserver
Problem gelöst. So scheints zu laufen:
Alles in allem erwirke ich damit folgende "Sicherheit".
Eingehende Verbindungen auf den Server mit Ausnahme von Port 53 für DNS Anfragen werden an eth1 blockiert. An allen anderen interfaces ist alles erlaubt.
Ausgehende Verbindungen sind erlaubt.
Alle Routing Anfragen werden bis auf ins 160er Netz blockiert und bei Bedarf Maskiert.
Sieht jemand noch irgendwo gravierende Probleme?
Freundliche Grüße
Daniel
# Generated by iptables-save v1.4.21 on Sun Apr 29 17:46:36 2018
*nat
:PREROUTING ACCEPT [35:2628]
:INPUT ACCEPT [10:1000]
:OUTPUT ACCEPT [18:1272]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Sun Apr 29 17:46:36 2018
# Generated by iptables-save v1.4.21 on Sun Apr 29 17:46:36 2018
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [148:15616]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -d 192.150.160.0/24 -i eth1 -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Sun Apr 29 17:46:36 2018
Alles in allem erwirke ich damit folgende "Sicherheit".
Eingehende Verbindungen auf den Server mit Ausnahme von Port 53 für DNS Anfragen werden an eth1 blockiert. An allen anderen interfaces ist alles erlaubt.
Ausgehende Verbindungen sind erlaubt.
Alle Routing Anfragen werden bis auf ins 160er Netz blockiert und bei Bedarf Maskiert.
Sieht jemand noch irgendwo gravierende Probleme?
Freundliche Grüße
Daniel
- heisenberg
- Beiträge: 3565
- Registriert: 04.06.2015 01:17:27
- Lizenz eigener Beiträge: MIT Lizenz
Re: Debian Server als Netzwerkverwaltungsserver
Schreibfehler. Soll bestimmt -i eth1 heissen.-i eht1
Jede Rohheit hat ihren Ursprung in einer Schwäche.