DSL-Router mit SuSE 7.3

René Kermis kermis at gmx.de
Mi Jan 2 15:10:16 CET 2002


Hallo Michael,

ich glaub, dass kann jetzt etwas länger werden. Also:

1) Wenn beide Netzwerkkarten auf dem Linux-Router laufen, dann sollte es
möglich sein, die interne IP des Routers anzupingen. Ich gehe mal davon aus,
dass es sich um ein 192.168.1.0/24 Netz handelt und der Router die IP
192.168.1.1 an eth0 hat. Weiterhin stellt man die zweite Netzwerkkarte auf
eine Dummy-IP in einem Dummy-Netz ein, z.B. 192.168.0.1 an eth1. Diese Karte
verbindet man mit dem DSL-Router. Da der DSL-Zugang wohl vom Router aus
funktioniert, werde ich das hier nicht näher erläutern, ist aber super
simpel mit rpppoe durchzuführen (ich sage da nur: adsl-setup).
2) Man muss auf der Linux-Büchse das Masquerading aktivieren, geht bei SuSE
glaub ich durch irgendeine Option im Yast, ansonsten von Hand per "echo 1 >
/proc/sys/net/ipv4/ip_forward".
3) Als dann muss man die Masquerading-Regeln mit iptables eintragen. Als
erstes reicht dazu ein recht simples Skript (am besten mal in der c't und im
masquerading-howto wühlen):

-----------------------------
#!/bin/sh

EXTIF=eth1
INTIF=eth0

ANY=0.0.0.0/0
LAN=192.168.1.0/24

#Module laden
modprobe iptable_nat
modprobe ip_nat_ftp

# IP-Spoofing verbieten
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ] ; then
        for i in /proc/sys/net/ipv4/conf/*/rp_filter ; do
                echo 1 > $i
        done
fi

# Schutz gegen SYN-Flooding
if [ -e /proc/sys/net/ipv4/tcp_syncookies ] ; then
        echo 1 > /proc/sys/net/ipv4/tcp_syncookies
fi

# Pakete mit Routing-Information verbieten
if [ -e /proc/sys/net/ipv4/conf/all/accept_source_route ] ; then
        for i in /proc/sys/net/ipv4/conf/*/accept_source_route ; do
                echo 0 > $i
        done
fi

# IP-Forwarding aktivieren (habe ich ja oben schon erwähnt)
if [ -e /proc/sys/net/ipv4/ip_forward ] ; then
        echo 1 > /proc/sys/net/ipv4/ip_forward
fi

# aktuelle Paketfilerregeln zurücksetzen
/sbin/iptables -F INPUT
/sbin/iptables -F OUTPUT
/sbin/iptables -F FORWARD
/sbin/iptables -t nat -F POSTROUTING
/sbin/iptables -t nat -F PREROUTING

/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -P FORWARD ACCEPT

# Annehmen, was established ist
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A INPUT -m state --state NEW -i ! $EXTIF -j ACCEPT

# Verbiete TCP und UDP Pakete auf allen Ports außer auf
# ssh
/sbin/iptables -A INPUT -p tcp -i $EXTIF -d $ANY --dport 22 -j ACCEPT
/sbin/iptables -A INPUT -p udp -i $EXTIF -d $ANY -j DROP
/sbin/iptables -A INPUT -p tcp -i $EXTIF -d $ANY -j DROP

# Masquerading Regel zum Surfen im web
/sbin/iptables -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE
-----------------------------
So, damit sollte erstmal ein recht sicherer Zugang zum Netz gewährleistet
sein. Wenn Ihr noch Ideen habt, was man besser machen kann, dann mailt mir
bitte. Das Skript einfach in einer Textdatei speichern und mit chmod "770"
ausführbar machen. Dabei auch drauf achten, dass das Skript "root" (chown,
chgrp) gehört, damit nicht irgendein user aus Jux und Dollerei dran
rumfriemeln kann ;)

4) Konfiguration der Windows-Rechner: In der
Systemeinstellung/Netzwerkeinstellung muss man als Gateway die IP-Adresse
des Linux-Rechners eintragen. Das wärs auch schon.

Anmerkungen: Bei den älteren SuSE Distributionen gab es ein Problem mit der
MTU. Diese sollte bei einer DSL-Verbindung 1492 betragen. Bei bestehender
Verbindung einfach mal ifconfig eingeben und gucken, was da bei ppp0 steht.
Ich habe eine ältere SuSE-Distri mal gesehen, die da noch 1500 stehen hatte
(wie bei ethernet). Dann muss man das durch den Eintrag "mtu 1492" in der
/etc/ppp/options einstellen.

Ach ja, wo alle über die Leistungsfähigkeit schwärmen. Also, wir haben fürs
DSL hier einen P133 mit 32 MB RAM stehen, der 24 User über DSL ins Netz
bringt. Die Maximalauslastung der Kiste beträgt ungefähr 25 %, wenns richtig
rund geht und viele kleine Verbindungen gleichzeitig offen gehalten werden.

Gruß
René

PS: Wenns noch Fragen zum Thema gibt, können wir ja vielleicht nächsten
Dienstag beim Treffen etwas ausführlicher über DSL, NAT und
Packet-Firewalling sprechen.



----- Original Message -----
From: "Michael Kallas" <michael.kallas at web.de>
To: <linux-users at uni-koeln.de>
Sent: Wednesday, January 02, 2002 9:10 AM
Subject: DSL-Router mit SuSE 7.3


> Hallo,
>
> ein Arbeitskollege von mir würde gerne mit SuSE einen (T)-DSL-Router
> einrichten. Bisher klappt allerdings bei ihm nur die Einwahl von diesem
> Rechner, ein über Hub angeschlossener Windows-Rechner kommt nicht rein,
> noch nichtmal Pings zwischen den beiden Rechnern funktionieren (timeout in
> beide Richtungen). Am "Router" hat er aber anscheinend über Yast beide
> Netzwerkkarten eingerichtet, sie sind auch als aktiv gekennzeichnet.
> Hat jemand Erfahrung damit? (Ich habe weder SuSE noch DSL, daher k.A.)
>
> Vielen Dank,
> Michael
> -- michael.kallas at web.de
> #include <standard_disclaimer>
> Nach Paragraph 28 Abs. 3 Bundesdatenschutzgesetz widerspreche ich der
> Nutzung oder Uebermittlung meiner Daten fuer Werbezwecke oder fuer die
> Markt- oder Meinungsforschung.
>
____________________________________________________________________________
__
> E*TRADE - neu in Deutschland. Jetzt Depot eröffnen + Prämie erhalten
> http://etrade.web.de
>



Mehr Informationen über die Mailingliste Linux-Users