Debian-Referenz
Kapitel 10 - Aufsetzen eines Gateway mit einem Debian-System

Debian ermöglicht einen Universal Gateway, der mit NAT, Mail, DHCP, DNS Cache, HTTP Proxy Cache, CVS, NFS und Samba Diensten für das eigene LAN System umgehen kann. Man vergleiche Netfilter, wo viele Netzwerkkonfigurationen aufgeführt sind.

10.1 Netzwerkkonfiguration

10.1.1 Rechnerkonfiguration des Gateway

Das LAN nutzt IP Adressen eines der folgenden privaten Netzwerkbereiche, um IP Adresskollisionen mit dem Internet zu vermeiden.

     Klasse A: 10.0.0.0                    mit Maske 255.0.0.0
     Klasse B: 172.16.0.0 - 172.31.0.0     mit Maske 255.255.0.0
     Klasse C: 192.168.0.0 - 192.168.255.0 mit Maske 255.255.255.0

Debian verwendet /etc/network/interfaces für die IP Konfiguration.

Wenn zum Beispiel eth0 eine Verbindung zum Internet mit einer durch DHCP bereitgestellten IP Adresse ist und eth1 das LAN anbindet, so sieht /etc/network/interfaces (bei Woody oder neuer) wie folgt aus:

     auto lo
     iface lo inet loopback
     
     auto eth0
     iface eth0 inet dhcp
     
     auto eth1
     iface eth1 inet static
     address 192.168.1.1
     network 192.168.1.0
     netmask 255.255.255.0
     broadcast 192.168.1.255

Führen Sie das folgende Kommando aus, um die neue Netzwerkkonfiguration in /etc/network/interfaces zu aktivieren:

     # /etc/init.d/networking restart

Zur Erinnerung: Die /etc/network/interfaces Datei in Woody und nachfolgenden Ausgaben ist mit Potato nicht kompatibel. (Die selbe Situation kann zwischen Woody und Sarge entstehen.)

Wird eine PCMCIA NIC (Netzwerkkarte) genutzt, muss das Netzwerk in Potato durch /etc/pcmcia/network.opts spezifiziert werden. Im Woody System wurde dieses Problem gelöst.

Im Zweifel sollten die Ausgaben folgender Kommandos geprüft werden:

     # ifconfig
     # cat /proc/pci
     # cat /proc/interrupts
     # dmesg | more

Viele neue ADSL Dienstleister nutzen PPPoE für IP Verbindungen. Das Woody Installationsprogramm hat kein Menü für PPPoE, enthält aber alle benötigten Pakete, d.h. pppoe und pppoeconf. Starten Sie pppoeconf in der Konsole für ein einfaches Einrichten während der Installation. Manchmal gibt es bei DSL (PPPoE) MTU bezogene Probleme. Vergleichen Sie das LDP DSL-HOWTO.

Haben Sie Probleme mit einigen Webseiten, schauen Sie in Eigenartige Probleme beim Zugriff auf einige Webseiten, Abschnitt 3.7.5.

10.1.2 PPP

Dieser Abschnitt muss noch übersetzt werden. Eventuell ist /usr/share/doc/ppp/README.Debian.gz hilfreich ...

10.1.3 Anhaltspunkte zur Netzwerkkonfiguration

Typische Programme:

     # apt-get install nfs samba dhcpd dhcp-client bind squid procmail
     # apt-get install fetchmail ssh cvs

Überprüfen Sie die folgenden Dateien:

     /etc/init.d/dhcpd      (so bearbeiten, dass nur LAN bedient wird)
     /etc/host.allow        (ALL: 192.168.0.0/16 127.0.0.0/8) für NFS
     /etc/exports           (nötig für NFS)
     /etc/bind/db.192.168.1 (hinzufügen)
     /etc/bind/db.lan       (hinzufügen)
     /etc/bind/named.conf   (bearbeiten)
     /etc/resolv.conf       (bearbeiten)
     /etc/hosts
     /etc/dhcpd.conf        (bearbeiten für LAN = eth1)
     /etc/dhclient.conf     (bearbeiten zum Erzwingen von lokalen DNS)
     /etc/samba/smb.conf
     /etc/exim/exim.conf
     /etc/mailname
     /etc/aliases
     /etc/squid.conf        (hinzufügen aller IPs der LAN Rechner)

bind erzeugt einen lokalen Cache DNS Server und ändert DNS zu localhost. Überprüfen Sie /etc/resolv.conf:

     nameserver 127.0.0.1
     search lan.aokiconsulting.com

10.2 Netfilter Konfiguration

Das netfilter/iptables Projekt ist ein Firewall System für Linux 2.4 und neuer. In Netfilter werden viele Netzwerkkonfigurationen erklärt.

10.2.1 Grundlagen von netfilter

Netfilter bearbeitet Pakete unter Verwendung von fünf eingebauten Ketten: PREROUTING, INPUT, FORWARD, OUTPUT und POSTROUTING.

                     routing
                     Entscheidung
     IN ------> PRE ---> ------> FORWARD -----> ----> POST -----> OUT
     Interface  ROUTING  \       Filter       /       ROUTING Interface
                DNAT     |       Verfolgung   ^       SNAT
                REDIRECT |                    |       MASQUERADE
                         v                    |
                       INPUT                OUTPUT
                         | Filter             ^ Filter,DNAT 
                         v                    |
                         \--> lokaler Prozess --/
                              Userspace Programme

10.2.2 Netfilter Tabelle

Pakete werden von jeder eingebauten Kette unter Verwendung der folgenden Tabellen verarbeitet.

• filter (Paketfilter, Standard)
  • INPUT (für Pakete die im Rechner ankommen)
  • FORWARD (für Pakete die durch den Rechner geleitet werden)
  • OUTPUT (für lokal erzeugte Pakete).
• nat (network address translation, Netzwerk-Adress-Übersetzung)
  • PREROUTING (für das Ändern eingehender Pakete)
  • OUTPUT (für das Ändern lokal erzeugter Pakete vor der Weiterleitung)
  • POSTROUTING (für das Ändern ausgehender Pakete)
• mangle (network address mangling, geeignet erst nach 2.4.18)
  • alle fünf eingebauten Ketten.

10.2.3 Netfilter Ziele

Firewall Regeln haben verschiedene Ziele:

• vier Basisziele:
  • ACCEPT bedeutet, dass das Paket durchgelassen wird.
  • DROP bedeutet, dass das Paket durchfällt.
  • QUEUE bedeutet, dass das Paket den Userspace passiert (falls vom Kernel unterstützt).
  • RETURN bedeutet, dass das Durchlaufen dieser Kette beendet wird und mit der nächsten Regel der vorherigen (aufrufenden) Kette fortgefahren wird.
• erweiterte Ziele:
  • LOG aktiviert Kernel logging.
  • REJECT sendet ein Fehlerpaket zurück und lässt das Paket fallen.
  • SNAT ändert die Quelladresse des Paketes und wird nur in der POSTROUTING Kette verwendet. (nur nat Tabelle)

         --to-source ipaddr[-ipaddr][:Port-Port]
    

  • MASQUERADE ist das selbe wie SNAT aber für dynamisch vergebene IP (dialup) Verbindungen. (nur nat Tabelle)

         --to-ports Port[-Port]
    

  • DNAT ändert die Zieladresse des Pakets und wird in den PREROUTING und OUTPUT, sowie benutzerdefinierten Ketten die nur von solchen aufgerufen wurden, verwendet. (nur nat Tabelle)

         --to-destination ipaddr[-ipaddr][:Port-Port]
    

  • REDIRECT ändert die Ziel IP Adresse, um das Paket zum aktuellen Rechner zu senden.

         --to-ports Port[-Port]
    

10.2.4 Netfilter Kommandos

Die grundlegenden Kommandos von iptables sind:

     iptables -N Kette        # erzeuge eine Kette
     
     iptables -A Kette \      # füge Regel zur Kette hinzu
      -t Tabelle \            # verwende Tabelle (filter, nat, mangle)
      -p Protokoll \          # tcp, udp, icmp oder all
      -s Quelladresse[/Maske] \
      --sport Port[:Port] \   # Quellport, falls -p tcp oder udp ist
      -d Zieladresse[/Maske] \
      --dport Port[:Port] \   # Zielport, falls -p tcp oder udp ist
      -j Ziel \               # was tun, wenn es passt
      -i in-interface-name \  # für INPUT,  FORWARD, PREROUTING
      -o out-interface-name   # für FORWARD, OUTPUT, POSTROUTING

10.2.5 IP-Masquerading

Maschinen im LAN können auf Internet Ressourcen mittels eines Gateway zugreifen, welcher IP-Masquerading (NAT) durchführt, indem eine einzelne extern zugängliche IP Adresse geteilt wird.

     # apt-get install ipmasq

Wenden Sie die Beispielregeln an, um den ipmasq Schutz zu verstärken. Vergleichen Sie /usr/share/doc/ipmasq/examples/stronger/README. Stellen Sie beim Debian kernel-image-2.4 sicher, dass die richtigen Module geladen werden. Die nötigen Konfigurationen sind in Netzwerk-Funktionalität, Abschnitt 7.2.3 zu finden.

Für Debian kernel-image-2.2, müssen Sie Z92timeouts.rul in /etc/masq/rules wie folgt editieren, um eine längere Verbindung zu entfernten Seiten sicherzustellen (gut für große E-Mails, etc.):

     # tcp, tcp-fin, udp
     # 2 h, 10 sek, 160 sek - Standard
     # 1 d, 10 min, 10 min - größeres Beispiel
     $IPCHAINS -M -S 86400 600 600

Wird auf das Netzwerk mittels einer PCMCIA Netzwerkkarte zugegriffen, so muss ipmasq von /etc/pcmcia/network.opts gestartet werden. Lesen Sie dazu /usr/share/doc/ipmasq/ipmasq.txt.gz.

10.2.6 Umleiten von SMTP Verbindungen (2.4)

Angenommen, Sie haben ein Notebook, welches konfiguriert ist, andere LAN Umgebungen zu nutzen und Sie möchten Ihren Mail User Agent auf dem Notebook ohne Rekonfiguration nutzen.

Das Hinzufügen der folgenden Regeln mittels des iptables Kommandos zum Gateway leitet die SMTP Verbindung zum Gateway um.

     # iptables -t nat -A PREROUTING -s 192.168.1.0/24 -j REDIRECT \
            -p tcp --dport smtp --to-port 25 # smtp=25, INPUT ist offen

Für gründlichere Umleitungsregeln sollte das ipmasq Paket installiert und M30redirect.def zum /etc/ipmasq/rules/ Verzeichnis hinzugefügt werden.

10.3 Handhaben verschiedener Netzverbindungen

[FIXME] Policy routing (von Phil Brutsche pbrutsch@tux.creighton.edu): Vergleichen Sie das Iproute Manual für Details. Traffic Control (tc) mag auch interessant sein.

Umgebung:

     eth0: 192.168.1.2/24; Gateway 192.168.1.1
     eth1: 10.0.0.2/24; Gateway 10.0.0.1
     Kein Masquerading auf dieser Maschine.

Spezielle Werte:

1. ip rule add from 192.168.1.2 lookup 1
2. ip rule add from 10.0.0.2 lookup 2
3. ip route add to default via 10.0.0.1 metric 0
4. ip route add to default via 192.168.1.1 metric 1
5. ip route add table 1 to 192.168.1.0/24 via eth0
6. ip route add table 1 to 10.0.0.2/24 via eth1
7. ip route add table 1 to default via 192.168.1.1
8. ip route add table 2 to 192.168.1.0/24 via eth0
9. ip route add table 2 to 10.0.0.2/24 via eth1
10. ip route add table 2 to default via 10.0.0.2

[FIXME] Ich habe dies niemals durchgeführt. Wie kann eine dialup Verbindung als Backup zu einer schnellen Verbindung mit automatischer Einwahl genutzt werden? Bitte senden Sie einen Patch :)

10.4 Building a gateway router

Wird in Kürze eingefügt...

10.4.1 Network configuration and PCMCIA

Wird in Kürze eingefügt...

Debian-Referenz