[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Wie bringe ich den ROUTER dazu sich als Gateway bzw 1. DNS anzubieten



Am Don, 2003-05-29 um 16.17 schrieb Stefan L.:
> Hallo NG und "Andre Timmermann" <timmerma@ba-loerrach.de> wrote in message news:20030529122014$21ad@gated-at.bofh.it...

> OK, vielleicht druecke ich mich in einigen Fragen etwas unpraezise aus ;-)
> aber vielleicht hast Du auch keine Ahnung worauf Du antwortest ;-)
> "Wie man in den Wald hineinruft so schalt es auch heraus."
> Du kennst mich doch gar nicht persoenlich... wenn du

Ich wollte Dir wirklich nicht zu Nahe treten, aber aus Deine
Fragestellung nahm ich an, dass Du was das Routing betrifft, gerade erst
angefangen hast, Dich damit zu beschäftigen. Du hattest in der
Fragestellung soviel zusammengeworfen, was eigentlich nicht zwangsläufig
zusammengehören muss. Also nicht böse sein ;o)

[...]
> 
> Du verstehst sicherlich das ich deshalb von der Newbie-Frage bis hin zur
> Netzwerkprogrammierung (Ich meine nicht VB), Clusterprogrammierung,
> etc spreche und manchmal auch einiges durcheinander bringe.
> debian ist auch recht neu fuer mich und ebenfalls dieses DSL
> mit Trennung alle 24h das einfach nur nervt...

Ist ja kein Problem, vor zweieinhalb Jahren wusste ich gerade mal wie
Linux geschrieben wird, freut mich, wenn ich einem 'alten Hasen' helfen
kann.

[...]

>  Die zonendateien muessten stimmen (nur ein master DNS-Server -> Logo)
> 
> > OK, von Anfang an.
> > 1. Du hast einen Router
> Ja, keinen "richtigen" wie Cisco aber eben einen Rechner mit
> base-install und bis jetzt 3-4 Pakete mehr... ohne tasksel

Das ist gut, wenn Du einen Cisco-Router hättest, dann müsstest Du noch
warten, der CCNA ist in arbeit ;o)

> > Mit Sicherheit möchtest Du da auch ne Firewall drauf laufen lassen.
> 
> Nein, erstmal nicht. Das Routing muss erstmal laufen.
> Bin momentan am packet "ipmasq". Anmerkung intern lauft das
> Netz bereits.
> 
> > Du findest auf www.freshmeat.net jede Menge Scripte, die Dir eine
> > Grundfirewall initialisieren, für den Anfang ist endoshield ganz nett.
> 
> Welch kernel-Version benoetigt "endoshield" ware gut von 2.2.x
> aufwaerts.

Endoshield benutzt iptables, also eine 2.4x-Kernelversion. Ich
persönlich würde Dir zu iptables raten, es ist neuer und wird ständig
weiterentwickelt. Mit ipchains habe ich mich nie befasst.

> 
> Denke momentan an shorewall der allerdings kernel 2.4.x benoetigt.
> Moechte ich im moment noch nicht (siehe andere Mails)
> 
> Aber im prinzip interessiert mich eine Firewall erstmal nur am Rande
> Oder koenntest Du "relevante" Daten aus unserem Netzwerk ziehen ?

So mit Sicherheit nicht, es geht auch darum, ab bestimmte Dienste
überhaupt aus dem Internet verfügbar sein sollen. Mit einer Firewall
kann man zumindest zum grossen Teil ausschliessen, das bestimmte Ports
überhaupt angeboten werden.

> 
> Ohne Firewall... DoS-Angriffe und aehnliches geht auch mit Firewall.
> Wenn ja, dann teile mir doch bitte mal mit wie Du das machst ???
> 
> Also Datenklau.... ich teile sobald das Routing laeuft Dir auch gerne
> mal meine IP mit...

Also ich habe kein Interesse in Rechner von anderen Leuten einzudringen,
aber wenn jemand bei einem Portscan bemerkt, dass da keine Firewall
läuft, und eventuell auch ein paar Ports offen sind, könnte das
Interesse wecken. Und möchtest Du, dass jemand Deine Bandbreite
verbraucht, nur weil er meint in Dein Netzwerk kommen zu wollen?
Eine Firewall bietet keinen 100%-tigen Schutz, senkt aber zumindest das
Interesse bei irgendwelchen Script-Kiddies.

> Als Wirtschaftsinformatikassistent (BA) solltest Du das ja
> beantworten koennen.

Eine Firewall würde z.B. auch verhindern, das sich bestimmte Trojaner,
die bestimmte Ports benutzen in das Internet connecten können.

Nebenbei benutze ich die iptables-Regeln auch um bestimmte Pakete zu
markieren, damit ich über QoS-Module den Verkehr in geordneten Bahnen
halten kann. Bei nur 128 Upstream ist sonst schnell die Leitung dicht,
insbesondere, wenn in der WG einige Experten extensives Filesharing
betreiben ;o)

> > Alternativ kannst Du einfach das Routing im Kernel einschalten
> > echo 1 > /proc/sys/net/ipv4/ip_forward
> 
> Schon laengst geschehen

Dann sollte der Router bereits routen.

> > Wenn das soweit läuft, kannst Du Dich den Clients widmen:
> > 1. Du musst den Clients sagen, wo sich Dein Gateway befindet
> 
> Achtung: WG mit DSL (also ohne Standleitung) -> resolv.conf
> wird am Router auch staendig geaendert... mein Vorkonfigurationen
> von resolv.conf gehen allerdings verloren,... dabei muesste nach dem
> ueberfliegen des "resolv.conf" aenderndem Scrptes nur die Dupes
> rausfliegen.

Ist wie bei mir, ich fliege auch alle 24 Stunden raus...
Aber die resolv.conf des Routers kann Dir egal sein. Wenn Du einen
eigenen Nameserver betreibst, brauchen die Clients nur den zu kennen.
Wenn Du keinen eigenen betreibst, müssen die Clients einen alternativen
NS kennen. Es gibt ja genug frei verfügbare.

> 
> btw.: Warum kann ich bei debian nur drei Nameserver angeben ?
> Auf Solaris 2.6 oder >7 kann ich beliebige eintragen.

Wozu brauchst Du so viele Nameserver, einer oder zwei reichen doch aus.

> > Entweder fest vergeben (/etc/network/interfaces)
> 
> Aha, ein weiteres Verstaendnisproblem geloest....
> Kannst Du das genauer erlaeutern. Es geht nicht um die Clients
> die sind "richtig" konfiguriert... Beim Router funkt das nur mit
> dem loopback und einer Netzwerkkarte; was nur wenig Sinn macht.
> Vielleicht kann ich allerdings auch ein oder mehrere Subnetze
> angeben... muss da nochmal schauen

Jetzt versteh ich Dich nicht ganz.

> > oder per DHCP zuweisen  lassen.
> 
> DHCP kommt mir erstmal nicht in die Tuete

DHCP wäre aber vielleicht gerade bei Deinem Netz mit so vielen
unterschiedlichen Architekturen das einfachste. Der DHCP-Server unter
Linux ist wirklich sehr einfach zu konfigurieren.

> 
> > 2. Du musst den Clients sagen, wo sich der Nameserver befindet.
> > Entweder in der Clientseitigen /etc/resolv.conf fest eintragen oder per
> > DHCP zuweisen lassen.
> 
> bereits passiert... (statisch)
> 
> > Es reicht, wenn Du jeweils einen oder zwei öffentlich verfügbaren
> > Nameserver einträgst, da kann jeder Client die Namensauflösung selber
> > machen.
> 
> > Wenn Du DHCP nutzen möchtest, dann wirst Du den sicher auf dem Router
> > installieren wollen. Da kann man dann in der Konfigurationsdatei
> > festlegen, welches Nameserver und Gateway sind.
> 
> Hm, mal sehen ob das eine in Zukunft eine Loesung darstellt.
> btw: Frag' mich nicht warum. Nur kurz: aber ich habe schon mal
> in einer Firma DHCP auf Windows Rechner installiert...
> war damals eine Qual ;-)

Ich kann Dir gerne meine DHCP-Config mailen, ich mach ein paar
Kommentare rein und dann gehts los. Ist wirklich ganz einfach unter
Linux.

> 
> Deshalb bevorzuge ich statische Adressen im localnet.

Du kannst dem DHCP-Server sagen, dass bestimmte MAC-Adressen immer die
gleiche IP haben sollen, das erleichtert die Administrative Arbeit im
Netz ungemein, wenn Du nicht ständig alle Clients ändern musst.

>  
> > So müsstest Du Bind gar nicht verwenden, wenn Du es doch tun möchtest,
> > musst Du den _Clients_ sagen, welches der Nameserver ist. (Entweder DHCP
> > oder direkt eintragen)
> 
> Klar, und bereits schon geschehen
> (Nochmal, an den Clients duerfte es nicht liegen) sonst koennte ich diese Mail
> ja auch nicht raussetzen.

Dann beschreib doch bitte nochmal, wo genau das Problem liegt, was
können die Clients denn nicht, was Du gerne hättest, bzw. wohin können
sie sich nicht verbinden.

Also ich beschreib Dir mal mein Netzwerk hier, vielleicht hilft Dir das
weiter. Wenn Du Fragen zu einzelnen Konfigsachen hast, mail ich Dir
gerne die Dateien.

Ganz vorne ist mein Router. 2.4.x-er Kernel mit iptables und QoS-Modulen
für das Traffic-Shaping. Ich habe Weiterleitungen für einige Ports
eingetragen, die auf meinen Fileserver zeigen.
Der Filserver ist neben dem Datengrab auch Webserver, Nameserver,
DHCP-Server, Mailserver und ein paar andere Sachen...
Die Clients holen sich beim Einschalten vom Fileserver die IP-Adresse,
die Gatewayadresse und die Nameserveradresse per DHCP. Die Clients
können somit sofort ins Netz, ohne das man Konfigurieren müsste.

> 
> Nebenbei: Wie lange dauert die Ausbildung
> dort und was kostet diese ?

3 Jahre, also sechs Semester. Sie kostet vor allem Zeit ;o)
Du brauchst einen Arbeitgeber, der Dich alle 3 Monate für 3 Monate zur
BA gehen lässt, und bekommst auch noch Geld dafür. Rechtlich gesehen ist
das eine ganz normale Berufsausbildung (im Sinne von Lehre)

> 
> Was sind so die Inhalte ?
> 1 x Systemmanagement ? Was noch?

Im Großen und Ganzen 50% BWL und 50% Informatik.
BWL: Unternehmensführung, Mitarbeiterführung, Strategieplanung, VWL,
Consulting

Informatik: Konzepte von Verteilten Systemen, CMS, ERP-Systeme,
Informationssysteme...

Hier ein Link mit dem Studienplan:
http://wi.ba-loerrach.de/ariadne/loader.php/WI/de/s_plan.html/

-- 
André Timmermann

Wirtschaftsinformatikassistent (BA)
Berufsakademie Lörrach (BWÜ)



Reply to: