30. oktober 2002 - 16:22Der er
36 kommentarer og 1 løsning
deling af inet bag router
Jeg har en inet-router fra TDC som vi er en gruppe der skal dele. Til dette formål har jeg sat en linuxboks op bag routeren med 2 netkort.
INET | |(62.242.198.203) TDC-ROUTER (med dhcp server) |(192.168.1.1) |-----et par andre PCERE | |(ETH1 - 192.168.1.4) Redhat 7.3 |(ETH0 - 192.168.2.1) | | ---------------------mit boliglan | | | | | | PC PC PC PC PC PC
Jeg har allerede implementeret en DHCP server med følgende setup på bolig-lan siden.
I dette særtema om aspekter af AI ser vi på skiftet fra sprogmodeller til AI-agenter, og hvordan virksomheder kan navigere i spændet mellem teknologisk hastighed og behovet for menneskelig kontrol.
Tja ... Det kommer vel helt ann på hvordan komuniasjonlinjen til TeleDK er laget (Det vet ikke jeg) .. Kjører selv et oppsett med Netopia router og bak denne en linux firewall/router, og det kjører foreløpig bra. (Har hatt denne linjen nå bare i 2 dager.) Utad så oppfører denne "routeren" seg som om det dreide seg om en "ordinær router" som mottar sin ip via dhcp. Går man tingene litt etter i sømmene så finner man at routeren i virkeligheten er noe helt annet, den er faktisk et modem som kommuniserer ved hjelp av ppp protokoll. Tildeling av ip skjer tilsynelatende ved anvendelse av dhcp. I virkeligheten så skjer den ved at routeren inneholder et skjult script som logger seg på hos isp via ppp, brukernavn og passord, og den kommuniserer også videre ved hjelp av PPP.
Har ingen ide om hvordan dette fungerer hos TeleDK. Det hadde sansynligvis gått an å hacke seg inn på adsl modemet på en slik måte at man klarte å avsløre alle hemmeligheter, og så lage et tilsvarende opplegg der en Linux client konne logge seg inn på den samme måte, men dette ville være litt komplisert. Det ville i alle fall kreve en del arbeidstimer.
Har eksperimentert og testet litt. Har funnet ut at den best fungerende løsningen faktisk er ved et dobbelt routeroppsett, der ippakkene først passerer via modem/router/firewall (Netopia), og så som neste trinn via Linux server/router/firewall (RedHat). Dette kjører utrolig nok hurtigere enn når pakkene får passere direkte fra modem/router/firewall til brukerstasjon(WinXP). (Antar at dette skyldes at Linuxen kjører med dns proxy slik at dns resolvingen blir hurtigere.
Jeg aner som sagt ikke hvorledes adsl linjene er laget i Danmark, men her så kjører det aller meste ved hjelp av PPP selv om noen av leverandørenes "kamuflasje" gir inntrykk av at det dreier seg om en ordinær routerforbindelse. Defor så ville det ikke fungere her å sette opp en ordinær linux router basert på iptables.
Det kan jo være aldeles helt feil det jeg skriver hvis det ikke dreier seg om en adsl forbindelse men i stedet en kabel forbindelse eller noe slikt .. altså ikke en telefonlinje. TDC ? Hva er det ? Og det scriptet over er det til konfigurering TDC'en ??
tax -> kjører et opplegg som ser ut til å være ganske likt ditt med firewalling og NAT både i ADSL modem/router og i Linux maskin etter ADSL modem/router. Har kjørt det noenlunde samme opplegget med Cisco 677 ADSL/modem/router tidligere. Selve modem konfigureingen kan jo være temmelig forskjellig. Det skriptet som du har lagt ut over er dette hentet inne fra ADSL routeren via telnet ?? (Eller hva slags script er dette ??)
TeleDK er Danmark´s "nationale" teleselskabet. TeleDK har mange opoblingsformer, f.eks. PPPoE, alm. Eth og ATM m.fl.
Som spørgsmålet var udformet så lød det som om man havde en router med 1 fast ip adresse, men ønskede at dele dette og egentligt ikke ville bruge routeren fra TeleDK. Hvis dette er tilfældet skal man istedet købe en Switch.
Min egen opkobling via TeleDK er helt uden router/firewall. Der er simpelthen et eth stik i et Siemens ADSL modem og når PC'en tændes, så er den aut. online.
Hvis man sætter en Linux boks op med DHCP/firewall, tjener routeren fra TeleDK ingen formål overhovedet. Derfor bør denne skrottes.
Desuden er routeren fra TeleDK i mange tilfælde en "lukket" router der ikke kan konfigureres medmindre man betaler f.eks. 995,- for at få åbnet en port på routeren. Dette er f.eks. tilfældet med deres erhvervs opkobling (Zilion). Men også her kan det varierer på grund af de mange produkter TeleDK har i deres portfolio.
dank -> Da har du forsøkt å erstatte Siemens ADSL boksen med en Linux ?
Her så fungerer tingene utad og tilsynelatende slik som du beskriver. Man kopler til ADSL boksen og umiddelbart så er man på nett. Virkeligheten bak det man ser er en helt annen. I det man kopler til ADSL boksen så blinker et grønt lys i ca 2 sekunder. I løpet av disse 2 sekundene så kjører et skjult script som etablerer en PPP forbindelse. (Leverandør: NextGenTel) Andre leverandører (Telenor) opplyser og markedsfører at de benytter PPPoE og "folk flest" tror da at dette er to forkjellige produkter og at virkemåten er forskjellig. Går man bak fasaden og ser så er virkemåten nesten identisk lik. (Selv om den ene er automatisk online i løpet av de to sekundene som modemets automatiske påloggingsscript behøver, mens den andre må logges inn ved hjelp av PPoE. Rent teknisk så fungerer det nesten likt.
Slik som teknologien er her så ville det ikke gå bra å erstatte modemet med en linux box.
Men du har forsøkt å erstatte Siemens boksen med en Linux router ? (Det kan vel godt tekes at teknologien til TeleDK er forkjellig fra det som brukes her.)(Hvis det er mulig så ville jeg også ha valgt dette dersom jeg ikke hadde administratorrettigheter til Siemens boksen.)
Det oppsettet som tax beskriver er jo ellers nesten et klassisk oppsett for dobbel firewall (Hvis TDC boksen kan konfigureres med firewall) der man har en yttre gatway firewall forran det som finnes av servere som skal kjøre mot internett og så bak denne dmz sone så har man en ny router/firewall mellom dmz og LAN. Det er jo nesten dette tax sin figur beskriver dersom TDC-Router er gateway firewall, "et par andre pcere" er dmz og Linux boxen er choke firewall inn ot Lan.
Men vi har visst glemt å svare på spørsmålet (igjen, he, he .. :-) Synes oppsettet til tax ser 100 % ok ut. Det bør kunne fungere helt fint. Det finnes selvfølgelig også andre løsninger.
Har ikke særlig greie på dhcp fordi jeg alltid bruker manuell konfigurering.
Det som ser ut til å mangle nå, det er vel uansett firewall/routing srcript til Linux boksen enten dette kommer i tillegg til eller i stedet for ADSL boksen. Bare så dette ikke har druknet helt i "ord": www.iptables.1go.dk
Nå har jeg vel kommentert for mye allerede og dette er vel dank sin firewall generator .. men .. ser egentlig ingen ting i dette scriptet som skulle hindre trafikken ut fra Linux boksen selv. Denne setningen: "iptables -P OUTPUT ACCEPT" sier jo at det som "policy" skal være fri trafikk ut.
For å finne øyeblikkets virkelige status for firewall kan kjøres følgende kommandoer: "iptables -L" og "iptables -t nat -L"
Det skader sikkert ikke å legge ut denne statusmeldingen her. Da kan man noenlunde se om virkningen av firewallscriptet er slik som den skal være.
Dank -> Hvor er du. Har du tid til å sove om natten ??!!
Scriptet er jo kun experimentalt på dette tidspunkt. Det er stadig under udvikling.
Prøv med denne linie
iptables -A OUTPUT -j ACCEPT
Og giv mig gerne feedback. Jeg vil i denne weekend rette nogle småting i scriptet. Men det skal stadig betragtes som en betaversion som folk kan prøve istedet for at "sakse" stumper af scripts fra forskellige websider.
Hos meg så ser det kun slik ut med hensyn til output chain:
"iptables --policy OUTPUT ACCEPT" og det fungerer helt fint.
Det spørs også litt hva slags kommunikasjon det er som ikke vil fungere. For å sjekke kommunikasjon ut fra Linux maskin pleier jeg foruten å lage listinger med -L også å teste med følgende kommando: "lynx pda.nettavisen.no" (Enkel kommunikasjon ut, port 80) eller selvfølgelig, man kan pinge noen.
Dersom det er ftp som ikke vil fungere ut fra Linuxmaskinen så mener jeg er problemstillingen muliggens en helt annen fordi ftp også når den settes opp innefra benytter forskjellige inngående og utgående porter (ut over port 20 og 21.) Hvis det dreier seg om ftp, at den ikke vil fungere, så ville jeg ha sett på eller vurdert input chain også.
Forsøk en ping eller bruk lynx eller noe annet som har en enkel enport kommunikasjon. Dersom dette fungerer så ligger årsaken til at ftp ikke fungerer kanskje i input chain.
Man kan også teste ut med følgende endring: "iptables --policy INPUT ACCEPT"
(Man bør vel imidlertig ikke kjøre permanent med dette ettersom det gir for liten eller nesten ingen sikkerhet.)
QoS kræver support kompileret i kernen. Desuden er emnet 3x så svært tilgængeligt som Iptables.. Sååeee start med at dyk ned i Iptables: www.netfilter.org
Her pleier jeg nare å nøye meg med: "iptables -t nat -F" Trodde dette virket likt med de tre øvrige ??
2.
"iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED"
Så man kan gjøre det slik. Det var jo ganske smart hvis det altså virker, og det gjør det vel tydeligvis (for ftp og annet internt fra Linux boksen.)
For passive mode ftp så forholder det seg vel slik at forbindelsen etableres fra klient til først mot port 21. Der etter så svarer serveren med en port høyere enn 1023 til klienten og klienten svarer så igjen tilbake til en vilkårlig port høyere enn 1023 hos serveren. (og til slutt så svarer serveren tilbake til klineten, også til en port høyeren enn 1023.) Dette ville jeg trodd at skulle nødvendiggjøre å åpne samtlige porter over 1023 som input regel. Hvis det fungere med regelen over så er da det selvfølgelig smaretere skulle en tro. Har dere testet både i active og passive mode ftp ??
3.
iptables -P OUTPUT ACCEPT
iptables -A OUTPUT -j ACCEPT
Dette må vel bli "smør på flesk", altså en regel for mye. Hvis policy eller default regel er at alle pakker til ouput chain skal aksepteres, så kan det vel ikke være nødvendig å sette opp en regel til som spesifiserer akkurat det samme.
4. Også meget smart det trikset med å sette forward til DROP og så åpne på den måten der ja.
Hvis dette fungerer slik som det skal, så synes jeg det ble til et særdeles bra script og bedre enn mye av det andre som befinner seg på nettet. Grunn: funksjonalitet, lesbarhet, struktur og logikk.
Dank -> Når det gjelder den siden med "firewall script generator", hva med å inkludere en eller annen skisse eller tekning over et oppsett eller noen alternative oppsett for firewall, nettverk og slikt, slik at de som ikke i utgangspunktet er så godt kjent med problemstillingene kan orientere seg litt.
Ny version af iptables.1go.dk scriptet er netop uploadet. Layoutet har fået sig en omgang og den fejl som Tax opdagede med trafik fra serveren mod WAN er rettet.
1: Jeg er faktisk ikke sikker på om "iptables -t nat -F" er nok?
2: Jeg tror dette script virker både med passive/non passive connections. Men det får vel testes en af de nærmeste dage.
3: Den sidste OUTPUT regel er droppet. Det var fordi jeg skulle prøve at finde fejlen i TAX's script. Det var en fejl.
4: Jeg tror den metode skulle virke :o)
4.a Tak.. Det lyder godt. Scriptet er jo udarbejdet i forhold til mine egne erfaringer og de ting som du har lært mig :o)
God idé at lave en skitse.. Det må komme på TODO listen.. Nogen her der er gode til skitsetegning :)
Fikk faktisk lært meg et par nye ting jeg selv og, denne gangen ! :-) Takker for det !!
Mulighet for å starte og stoppe, det var kanskje ikke så dumt .. (Bare det ikke blir alt for komlisert slik at dette går på bekostning av enkelhet og klarhet.)
Slik som jeg selv pleier å gjøre det så lager jeg et lite utvalg av script for forskjellige driftssituasjoner. Et av disse er "default scriptet". Dette starter jeg automatisk fra /etc/rc.d/rc.local scriptet. Dette gir da "default security" og "default nat egenskaper" når jeg slår maskinen på, eller ved foreksempel automatisk oppstart etter strømbrudd.
Hvis jeg har bruk for andre sikkerhetsegenskaper, for eksempel litt mindre filtering i forbindelse med "arbeider" utenfra slik at jeg "kommer til litt bedre" for et begrenset stykke tid så kjører jeg et av de andre scriptene ved å logge meg inn via ssh slik at jeg kan jobbe med midlertidig redusert sikkerhet.
På samme måte så kan man via flere alternative firewall scripts endre nat egenskapene til det som man måtte ønske for den aktuelle situasjon. For eksempel så kan man (via ssh) kjøre forskjellige alternative scripts som gir ftp tilgang til forskjellige servere i dmz eller på lan. På tilsvarende måte så kan man også lage og kjøre scripts som gir remoote control utenfra i forhold til forskjellige Windows maskiner inne på lan. Til sist så kan man lukke for remoote control ved å kjøre "basic firewall script".
Hvordan gjør man det tilsvarende i windows ?? (He , he ..) Det er nok mulig å oppnå det samme dersom man har administrator tilgang til adsl/router/modem, men dette er mye mer upraktisk. I Linux så kan man ha de funksjoner og de kommunikasjons forbindelser man ønsker "ferdig programmert" i form av script. Da tar det kun 20 sekunder å logge seg på via ssh og sette opp de forbindelser man måtte ønske.
Dank -> Synes ellers "situasjonen" over viser litt behovet for noen skisser eller noen figurer som forklarer.
Det å skrive et firewall/routing script er jo nesten det samme som å designe en flow av ip pakker. Gjennom iptables grensesnittet så kan man jo mer eller mindre få dem til å gå dit man ønsker eller man kan stanse dem.
Denne flowen av ip pakker skal så fungere på en best mulig måte i forhold til en fysisk og teknisk virkelighet ? Men så er spørsmålet: Hva er så denne fysiske eller tekniske virkelighet ?
Kravet til funksjonalitet og at "ting" skal være "hurtige og enkle" vil vel også ofte stå i motsetning til kravet om sikkerhet. Ofte så vil det vel være et spørsmål om å veie sikkerhet og funsksjonalitet mot hverandre og opp mot den virkelighet som installasjonen skal fungere i forhold til.
Dersom man for eksempel ønsker en optimal grad ac sikkerhet så vil man vel hverken tillate noen ftp klient eller ftp server eller nesten noen andre server funksjoner på firewall maskinen. For en gateway/firewall maskin til hobbyrommet så kan man vel godt kjøre både ftp server, ftp klient, web server og firewall på den samme maskin, synes jeg. Sikkerhetskravet til det som skal skje i en bank og det som skal skje i et hobbyrom blir bare ikke det samme. Tror at noen tekninger og skitser og forklaringer over noen litt typiske schenarioer kunne hjelpe til.
Vil se om jeg klarer å komme opp med noen små forslag eller ideer som du eventuelt kan "mekke" videre på.
"Vil se om jeg klarer å komme opp med noen små forslag eller ideer som du eventuelt kan "mekke" videre på....."
Det lyder godt. Har du set jeg har bygget et lidt pænere layout rundt om script generatoren? Ikke så væsentligt for selve scriptet men hvis layoutet er overskueligt, så bliver chanchen for fejlindtastning vel mindre. (når det ikke er så meget der generer øjnene) :o)
Jeg tænker desuden på at scriptet skulle udvides med mulighed for flere netkort. DMZ zoner (som jeg ikke er helt sikre på hvad er) og måske ToS (priotering af pakker, f.eks. at ssh pakker prioteres højt)
Jeg tror lige jeg opretter et spørgsmål omkring DMZ :o)
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
