RE: Routing vom LTSP netz unterbinden
> -----Original Message-----
> From: user-bounces@skolelinux.de
> [mailto:user-bounces@skolelinux.de] On Behalf Of Dirk Mikkelsen
> Sent: Friday, April 01, 2005 9:23 PM
> To: UserList
> Subject: Routing vom LTSP netz unterbinden
>
>
> Hallo,
>
> Habe zu Hause in der lastbzz version (und auch in der
> Schuke (1.oR1)) den Effekt, dass Rechner am LTSP
> Subnetz, die nicht als Thin Client booten (WINDOOWS)
> direkt ins Internet kommen.
Also auch mit böser Absicht eingestöpselte Laptops?
>
> Hat jemand die Regel für die IPTables (oder das
> Prozedere über Webmin) parat um dies zu unterbinden ?
Webmin dafür wär schon nett ;-)
>
Auf welchem Rechner soll(en) die Regel(n) denn eingebaut werden?
Wie sieht denn dein Netz aus?
So wie es soll, oder etwas anderes, sprich selbstbasteltes?
Vorschlag:
Wenn das Gateway das nicht regelt, dann muss das tjener machen.
(Hab ich so bei mir in der Schule laufen, kann ich aber jetzt nicht
nachgucken)
Am sinnvollsten hat tjener dazu zwei NICs.
Ich hoffe, dass ich nachfolgend Geschriebenes noch richtig aus meiner
Erinnerung in diese Mail krieg ;-)
Zum Beispiel:
eth1 zum Gateway, eth0 zum internen LAN
XXX.XXX.XXX.1 <-->[eth1] XXX.XXX.XXX.2 | 10.0.2.2 [eth0]<----> Switch
+-<----> LTSP <----> Switch +-<----> Thinclients
|
|
+-<----> Clienten +-<----> Windows-Clienten
Es müsste IMHO also auf tjener sein:
In /etc/network/interfaces für eth1 "gateway XXX.XXX.XXX.1" eintragen
Mit /etc/init.d/networking restart neu laden.
"route -n" sollte als letzte Zeile dann "0.0.0.0 XXX.XXX.XXX.1 255.255.255.0
eth1" zeigen.
root@tjener.intern# echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o 10.0.2.2 -j SNAT --to XXX.XXX.XXX.2
Heisst, nur tjener lässt sich selbst in das Internet!
Alle anderen müssen einen proxy auf tjener nutzen.
So kann man dann nur angebotene proxy-Dienste auf tjener nutzen.
Das kann dann sein, dass LTSP-Server kein apt-get mehr kann!
Ich weiss leider nicht mehr, ob der direkt in das Netz geht, oder webcache
auf tjener nutzt zum apt-getten.
Wenn der nicht mehr raus kann, dann apt-get IMHO so anpassen:
Falls nicht schon vorhanden, /etc/apt/apt.conf anlegen.
In erster Zeile: Acquire::http::Proxy "http://webcache.intern:3128/";;
eintragen,
wenn in /etc/apt/sources.list http-Quellen benutzt werden
oder: Acquire::ftp::Proxy "http://webcache.intern:3128/";; eintragen,
wenn in /etc/apt/sources.list ftp-Quellen benutzt werden
IMHO kann es möglich sein, dass die Environment-Variablen
$http_proxy den Inhalt "http://webcache.intern:3128"; und
$ftp_proxy den Inhalt "ftp://webcache.intern:3128"; haben.
Dies überschreibt lt. manual pages die Einstellungen von apt.conf!
Also zum apt-getten evtl. leermachen.
Zum Prüfen:
root@ltsp-server00.intern# set | grep _proxy
http_proxy="http://webcache.intern:3128";
ftp_proxy="ftp://webcache.intern:3128";
root@ltsp-server00.intern# http_proxy=""
root@ltsp-server00.intern# ftp_proxy=""
root@ltsp-server00.intern# set | grep _proxy
root@ltsp-server00.intern#
Siehe dazu auch: man apt.conf(5)
Abschliessend, wenn alles klappt, die Einträge in den Startscripten
verewigen.
Mit freundlichen Gruessen,
Juergen Leibner
--
Coffeecup empty - Userpanic!
--
Jürgen Leibner juergen.leibner@t-online.de
Tel 0521-8949019
--
Diese Mail wurde durch neueste Virenscanner mit den aktuellsten Signaturen
geprüft und ist bestmöglich virenfrei!
Reply to: