Danke euch nochmal für die Infos. Ich komme erst in ein paar Tagen wieder an das Gerät bzw. den Versuchsaufbau. Ich melde mich dann wieder.
Hinsichtlich IP-Forward und NAT werde ich mich belesen.
Grüße Oliver
Messeteam
(Themenstarter)
Anmeldungsdatum: Beiträge: 1180 Wohnort: Vogtlandkreis |
Danke euch nochmal für die Infos. Ich komme erst in ein paar Tagen wieder an das Gerät bzw. den Versuchsaufbau. Ich melde mich dann wieder. Hinsichtlich IP-Forward und NAT werde ich mich belesen. Grüße Oliver |
||
Anmeldungsdatum: Beiträge: 29307 Wohnort: NRW |
|||
Messeteam
(Themenstarter)
Anmeldungsdatum: Beiträge: 1180 Wohnort: Vogtlandkreis |
Ha, da bin ich auch gerade. Und wie es der Teufel so will, ist natürlich eth0, die Schnittstelle Richtung Internet, mal wieder nicht einfach an einen Router angeschlossen, sondern an ein DSL-Modem via PPP. Ich versuche gerade, durch die vielen iptables-Zeilen durchzublicken, die in der interfaces abgelegt sind. |
||
Anmeldungsdatum: Beiträge: 29307 Wohnort: NRW |
Das spielt keine Rolle, dazu muss ja nur pppoe konfiguriert sein und den Internetzugang über eth0 aufbauen. In der Konfiguration der iptabels-Regeln muss dann nur eth0 durch ppp0, oder entsprechend der tatsächlichen Konfiguration, ersetzt werden. Ein entsprechendes Beispiel der interfaces ist unter "Praktische Anwendung" , genauer unter Router - Konfiguration beschrieben. |
||
Messeteam
(Themenstarter)
Anmeldungsdatum: Beiträge: 1180 Wohnort: Vogtlandkreis |
Wäre denn folgende Konfiguration lauffähig, so wie du es meinst? Bei Zeile 19 bin ich mir nicht sicher, ob da die eth0 (192.168.100.xxx) zur FritzBox oder eth1 (192.168.200.xxx) zu den Clients angegeben werden muss. Aber so lese ich das aus dem Wikibeitrag zum Maskieren der LAN-Schnittstelle, Port-Forwarding & NAT aktivieren. /etc/network/interfaces
Oh man, danke für eure Geduld. Wir machen es doch nur für die Kinder 😊 |
||
Anmeldungsdatum: Beiträge: 29307 Wohnort: NRW |
❓ Weiso ist da jetzt auf einmal eine Fritz-Box? |
||
Messeteam
(Themenstarter)
Anmeldungsdatum: Beiträge: 1180 Wohnort: Vogtlandkreis |
|||
Anmeldungsdatum: Beiträge: 29307 Wohnort: NRW |
Ach so, dann habe ich dies genau falsch verstanden ...
Ist ja noch einfacher so. Über DHCP: # LAN-Anschluß 1 # an eth0 ist das DSL-Modem bzw. den vorhandenen Router angeschlossen auto eth0 iface eth0 inet dhcp Den Abschnitt mit pppoe einfach entfernen, bzw. deaktivieren: # pppoe Verbindung # auto dsl-provider # iface dsl-provider inet ppp # pre-up /sbin/ifconfig eth0 up # line maintained by pppoeconf # provider dsl-provider eth0 statisch ginge natürlich auch, die FB weist bekannten Clients aber immer wieder die selbe IP-Adresse zu. wenn man dies so in der Konfiguration festlegt. Die IP-Adresse für eth0 darf dann aber nicht aus dem Adresspool des DHCP-Servers der FB sein! |
||
Messeteam
(Themenstarter)
Anmeldungsdatum: Beiträge: 1180 Wohnort: Vogtlandkreis |
Ja, verstehe ich. Die Adressbereiche sind ja unterschiedlich. Wenn ich nun die von mir oben ausgewiesene interfaces so benutze, ist das dann die Konfiguration die du meinst mit: elektronenblitz63 schrieb
Kommen wir der Sache näher, dass wenn die interfaces so verarbeitet wird aller Traffic über den Proxy geht? Du schreibst ja, dass es dann wohl nichtmehr nötig ist, Port 80 auf squid umzuleiten? 😕 Ach ich versteh es einfach nicht. Hätte ich nur was gescheites gerlernt. 😉 |
||
Anmeldungsdatum: Beiträge: 29307 Wohnort: NRW |
Hallo, auto lo iface lo inet loopback # Verbindung zum Router - LAN-Anschluß 0 auto eth0 iface eth1 inet static address 192.168.200.1 netmask 255.255.255.0 dnsnameservers 192.168.200.1 # lokales Netzwerk - LAN-Anschluß 1 auto eth1 iface eth1 inet static address 192.168.xxx.xxx netmask 255.255.255.0 broadcast 192.168.xxx.255 # Maskieren der LAN-Schnittstelle, Port-Forwarding & NAT aktivieren # vorhandene Regeln und Ketten zuerst löschen / Reset Traffic-Control # Restart-Funktionalität up /sbin/iptables -F up /sbin/iptables -X up /sbin/iptables -t nat -F # Forwarding für alle verwendeten Schnittstellen im lokalen Netz aktivieren up /sbin/iptables -A FORWARD -o eth0 -i eth1 -s 192.168.200.0/24 -m conntrack --ctstate NEW -j ACCEPT up /sbin/iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT up /sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE up /sbin/sysctl -w net.ipv4.ip_forward=1 # Forward to squid3 up /sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128 # dnsmasq neu starten up /etc/init.d/dnsmasq restart Die IP-Adressen für eth0/eth1 müssen noch angepasst werden! Kommt darauf an, wie die FB eingestellt ist, 192.168.200.1 für eth0 ist etwas eigenartig. Adresse 1 sollte eigentlich die FB haben. |
||
Messeteam
(Themenstarter)
Anmeldungsdatum: Beiträge: 1180 Wohnort: Vogtlandkreis |
Ich danke dir wie verrückt. Sobald ich wieder an den Rechner komme, wird das sofort probiert. Ich melde mich dann demnächst wieder.
Nee, das haut schon hin. Wie bereits erwähnt, eth0 macht der network-manager und bekommt von der FB eine dhcp-Adresse - komischerweise im 100er-Band, nicht wie üblich, 178. eth1 ist static als 192.168.200.1 und der edubuntu-dhcpd verteilt 200er über eth1 an die daran angeschlossenen ThinClients. Aber ich habe das Prinzip in deiner interfaces verstanden. Ich passe den obernen Teil noch an. Aber nichts desto trotz muss ich jetzt schlafen. 4,30 Uhr weckert der Klingel, äh klingelt... na du weisst schon. Gute N8, Oliver |
||
Anmeldungsdatum: Beiträge: 29307 Wohnort: NRW |
Der Eintrag |
||
Anmeldungsdatum: Beiträge: 15900 |
Hallo I-Punkt, Es darf aber normalerweise nur ein DHPC Server laufen .... Warum nuzt du nicht 10 Adressen fürs interne Netzwerk zur Unterscheidung. Gruss Lidux |
||
Messeteam
(Themenstarter)
Anmeldungsdatum: Beiträge: 1180 Wohnort: Vogtlandkreis |
Um nochmal auf das Thema zurückzukommen. Wir sind davon abgekommen, lediglich das Klassenzimmer, sprich das Edubuntu-Netzwerk abzusichern. Es wird darauf hinauslaufen, eine separate Hardwarefirewall basierend auf ipfire, ipcop, pfsense o .Ä. mit Proxy und Contenfilter einzusetzen. Somit wird rechnerunabhängig netzwerkübergreifend sämtlicher Traffic vor dem Internetgateway abgegriffen. Danke für eure Hinweise. MFG Oliver ▶ gelöst |