debian gateway

doh glemte linket til diagrammer
http://acel.adsl.dk/network.jpg

Hmmm, jeg kan ikke komme ind på dit link, med det lyder til at du vil præcis det samme som alle andre :-)
Linux som gateway og firewall, andre maskiner bag, og internet udenfor.

Jeg har selv roddet en del med routerdelen (det at være gateway) og det er ret nemt.

Her står der en del om firewall delen..., det burde også være et par kapitler om router delen, men den kunne jeg ikke finde.
http://www.sslug.dk/linuxbog/sikkerhed/bog/linux-firewalling.html

For at være gateway skal du have din linux med et netkort på begge netværk. Disse skal have forskellige ip-serier for at det virker.
Når du har opsat netkortne på linuxen, så at eth0 er på det ene netværk men en ip, og eth1 er på det andet netværk med en anden ip er du klar til at gå videre.
Du mangler så blot at opsætte på linuxen at internet-forbindelsen er default gateway, samt at den må videresende pakker fra det ene netkort til det andet (enable forwarding) - det sættes typisk samme sted som defautl gateway.

På dine arbejdsstationer skal du opsætte at din linux-maskines interne ip er deres default gateway.

På nuværende tidspunkt har du en netforbindelse uden firewall, men stadig ganske sikker da man ikke kan nå dine arbejdstationer udefra (da de har en privat ip, og det kun er din linuxmaskine der er direkte på nettet)

Her er der mere om det....

doooh, glemte linket
http://www.sslug.dk/linuxbog/admin/bog/eks-net.html

de næste sider fra dette link er også relevante for dig, specielt denne http://www.sslug.dk/linuxbog/admin/bog/eks-nat.html

har læst de toturials derinde, men problemet er bare at der ikke står specefike kommandoer.
dvs jeg mangler en liste eller en der kan skrive den ala:
1) kør den
2)do that
..
...
....
.....
......
10) now you have a gateway

eller sådan noget.

Okay, men så må jeg vide hvor langt du er, og hvad du kan....

Er begge netkort i luften, opsat med forskellige IP serier, og har du fra linuxen forbindelse via din ADSL til nettet ?

Ellers er det første step.
Jeg er som sagt ikke så meget inde i firewall delen, men kan få dig i luften med en gateway...

netkort i oppe.
jeg er pænt god til linux, dvs kan et par tricks.

og jeg har forbindelse til routeren og ud på det store net ( http://acel.adsl.dk er hosted op den p.t )

Okay
Er det kun det ene netkort der er oppe ?
Du skal have begge netkort i luften for at den kan køre gateway.

Nu kunne jeg også se din tegning, det er server1 vi roder med ikke?

Når begge netkort er i luften vil jeg gerne se hvad ifconfig og route -n giver af output (når du taster dem i en console...)

Ved at fyre dene kommando af
echo \"1\" > /proc/sys/net/ipv4/ip_forward
aktiverer du at den videresender pakker fra det ene netkort til det andet....

ifconfig : http://acel.adsl.dk/ifconfig.txt
route- : http://acel.adsl.dk/route-n.txt

btw hvordan får man apache til at ligge sig på eth1 ?
den smider sig på eth0 per auto

det er server1 ja.
selvom server 2 skal have den samme tur på et tidspunkt(er en nt4 lige nu men bliver en linux engang næste år)

eth0 = 10.10.0.2 er det interne net
eth1 = 10.0.0.2 er det externe net.
fra serveren kan jeg pinge 10.0.0.1(router) & 10.10.0.15(denne maskine)
men kan ikke pinge fra denne maskine og til routeren.
selvom jeg har lavet echo \"1\" > /proc/sys/net/ipv4/ip_forward

why?

ifconfig og route-n ser rigtig ud.
Jeg mener du i httpd.conf kan sætte hvilken ip den skal binde sig til, men er ikke sikker.

Har du 10.10.0.2 som default gw på din pc ?
Kan du pinge 10.10.0.2 og 10.0.0.2 fra den ?
Er du sikker på at din router har 255.255.255.0 som netmaske ? - normalt ville den have 255.0.0.0 og dermed tro at alle 10.*.*.* maskiner sad på samme net som den....

Faktisk sidder jeg lige og overvejer om ikke din router også skal vide at 10.10.0.* sidder bag 10.0.0.2. Det tror jeg faktisk at den skal, ellers vil den drøne ud på internettet efter dem. Kan du tilføje en route i den ?
Det problem vil nornalt ikke opstå, da din opsæt i denne forbindelse er ret specielt....
Kan du ikke tilføje en route i routeren kan det omgåes ved at lave server1 maskere dine ip\'ere. Dermed vil alle forbindelser fra 10.10.0.* nettet komme ud med ip 10.0.0.2. Det er en del af firewall kommandoen, som du anyway skal til.
Du kan evt prøve at se om selve router funktionen virker ved at sætte en pc på 10.0.0.* nettet, med gateway 10.0.0.2 og se om du kan pinge mellem den og din pc....

Har du 10.10.0.2 som default gw på din pc ?
ja det har jeg.
Kan du pinge 10.10.0.2 og 10.0.0.2 fra den ?
jeg kan pinge 10.10.0.2 men ikke 10.0.0.2
Er du sikker på at din router har 255.255.255.0 som netmaske ?
i have no idea men kigger det lige.
Er du sikker på at din router har 255.255.255.0 som netmaske ?
i have no idea men kigger lige.
          IP Address        Mask
eth0      10.0.0.1          255.255.255.0
jo den har sørme.
ved ikke om min router skal have det at vide?.
ved ikke om jeg kan tilføje en route i den.
i teorien skal alt trafik fra de maskiner jo blive samlet i server1 og sendt til routeren og vise versa.

Du kan evt prøve at se om selve router funktionen virker ved at sætte en pc på 10.0.0.* nettet, med gateway 10.0.0.2 og se om du kan pinge mellem den og din pc....

kan jeg ikke...

Hmmm, jeg er ved at være gået kold så.

Du burde kunne pinge både 10.10.0.2 og 10.0.0.2.
Prøv at skrive \"more /proc/sys/net/ipv4/ip_forward\", det skulle gerne give 1

Det der mangler, er at server 1 skal køre masquerading for maskine 1 + 2.
Grunden til at ping fra maskine 1 til router ikke virker, er at routeren ikke kender noget til 10.10.x.x netværket.
Tilføj:

ipchains -P forward DENY
ipchains -A forward -i eth1 -j MASQ
echo 1 > /proc/sys/net/ipv4/ip_forward

til /etc/init.d/bootmisc.sh
så spiller det efter en reboot, du kan selvfølgelig også bare fyre de første 2 kommandoer af fra promptet.

ipchains -P forward DENY
ipchains: Protocol not available
ipchains -A forward -i eth1 -j MASQ
ipchains: Protocol not available

er det sundt?
hvorfor gør den det?

OK, du kører ikke stable debian med en standardkerne. Hvad kører du ?
Hvis du ikke ved det, så skriv cat /proc/version

min server døde lige pga strømafbrydelse, men er ved at installere den med en 2.4.17 & woody
eller hvad vil du anbefale?

Til en server, der skal køre som (delvis) firewall, vil jeg altid anbefale stable debian, woody har den ulempe, at security updates er 1-3 uger om at komme igennem godkendelsesprocessen, for at blive indlemmet i distributionen.
Kerne 2.4.17 bruger ikke ipchains, men iptables, og de kommandoer sidder ikke på ryggraden endnu, men prøv med:

modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
iptables -t nat -A POSTROUTING -o eth0 -j \\ MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 0 > /proc/sys/net/ipv4/tcp_ecn

joshua:~/linux# modprobe iptable_nat
modprobe: Can\'t locate module iptable_nat
joshua:~/linux# modprobe ip_conntrack
modprobe: Can\'t locate module ip_conntrack
joshua:~/linux# modprobe ip_conntrack_ftp
modprobe: Can\'t locate module ip_conntrack_ftp
joshua:~/linux# modprobe ip_nat_ftp
modprobe: Can\'t locate module ip_nat_ftp
joshua:~/linux# iptables -t nat -A POSTROUTING -o eth0 -j \\ MASQUERADE
iptables v1.2.4: Invalid target name ` MASQUERADE\'
Try `iptables -h\' or \'iptables --help\' for more information.
joshua:~/linux# echo 1 > /proc/sys/net/ipv4/ip_forward
joshua:~/linux# echo 0 > /proc/sys/net/ipv4/tcp_ecn

OK, \"/\" foran MASQUERADE skal ikke være der, jeg lavede den kun fordi kommandoen skal være på en linie.
Jeg ved ikke hvad der er galt med de manglende moduler, men de kommandoer kører perfekt på et potato system, der er opgraderet til 2.4.9, så noget tyder på at woody ikke virker som den skal endnu.
Mit bedste råd er stadig at bruge stable debian.

hm.... jeg ser hvad jeg kan gøre, som sagt døde serveren så jeg har knap fået den op og stå

jeg har kompileret kernel med iptables osv.
men skal de være moduler?

for den siger jo den ikke kan fatte modulerne :)
/me er lidt lost på dette område

OK, hvis du har compileret kernen selv, burde du kunne nøjes med:

iptables -t nat -A POSTROUTING -o eth0 -j  MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 0 > /proc/sys/net/ipv4/tcp_ecn

men den sagde jo også at \"
iptables v1.2.4: Invalid target name ` MASQUERADE\'\"
så måske har du kompileret de forkerte options ind i kernen. Hvad med at prøve 2.2.20 til woody, 2.2 serien er noget mere stabil end 2.4.

iptables -t nat -A POSTROUTING -o eth0 -j  MASQUERADE
modprobe: Can\'t locate module ip_tables
iptables v1.2.4: can\'t initialize iptables table `nat\': Table does not exist (do you need to insmod?)

det her siger den helt præcist.
men er det ikke for sent at \"ned gradere\" kernel?

men jeg er helt 100% på at jeg har installeret iptables med.

dvs du vil sige at jeg skal køre potato med en 2.4.9 kerne?

Hvid du ikke har brug for nogle specielle feature fra 2.4 kernen, vil jeg anbefale potato med 2.2.19. Grunden til at jeg brugte 2.4.9 til denne server, var at vi skulle bruger reiserfs, for at få bedre performance til en proxyserver. (squid)

jeg skal sådan set bare have en alm hobby server.
men kan jeg ikke lige så godt opdatere?
retter det ikke et par fejl osv?

btw har du et icq nummer?
jeg kunne godt tænke mig at snakke lidt med dig derover(er lidt hurtigere)

Der er flere fejl i 2.4 kerneserien end i 2.2.
Jeg har et icq nummer på en af de maskiner, jeg bruger en gang imellem, hvis jeg bare kunne huske hvilken......

*lol*
jeg tror jeg beholder 2.2 så.
jeg prøver lige med den kerne så, men der skulle jeg bruge:

ipchains -P forward DENY
ipchains -A forward -i eth1 -j MASQ
echo 1 > /proc/sys/net/ipv4/ip_forward

ik ?

har du lyst til at giv en lille forklaring hvad de forskellige gør?

Jep.
Som default router kernen ikke mellem sine netwærkinterfaces, men hvis man skriver den sidste linie gør den det.
Det vi ønsker er ikke en almindelig routning, men en maskerading, så den første linie spærrer for almindelig routning, og den anden linie starter masqueradingen. Du kan læse mere om det (på engelsk) i filen /usr/share/doc/netbase/ipchains-HOWTO.txt.gz

okay takker.
btw du lyder til at have kanont styr på det.
arbejder du med linux i hverdagen?

eth1
er det det externe eller interne ( ipchains -A forward -i eth1 -j MASQ )

Jo, jeg begynde at lege med linux for ca. 6 1/2 år siden, og jeg har arbejdet med det i over 6 år, næsten hele tiden med debian, så jeg kender det ret godt.
Eth1 er det interface der sender pakker ud til verden, altså i dit tilfælde mod routeren. Hvis man har et modem til internettet og nogle maskiner bag linuxen, der skal bruge linuxen som gateway skriver man ppp0.

det er et helt alm 10 mbit netkort.

du får points nu, du har vist uden mere end forventet.

findes der en kommando så man kan se hvilket netkort det kører vilket modul?
jeg har svært ved at finde ud af hvilket der er eth0 & eth1

Ja, ifconfig viser hvilket kort, der har hvilken ipadresse, og en masse statistik.

yeah i know.
men ikke hvilket modul der er brugt, men jeg har fået styr på det og det virker nu.
takker mange gange for hjælpen