[linux] Re: en dan de netwerkvraag...

Daniel C. von Asmuth asmuth op bakunin.xs4all.nl
Za Apr 8 13:05:26 CEST 2006 

Aldus schreef paai op Fri, Apr 07, 2006 at 06:25:00PM +0200:
> ...intussen heb ik een werkende PC in elkaar geknutseld, die
> ik als firewall/router wil gaan gebruiken, en vooral om van
> elders bij mijn spullen thuis te kunnen komen.
> 
> Nu wreekt zich dat ik het toch nooit systematisch heb geleerd.

Misschien tijd om lid te worden van de Linux Zelfstudie Groep
Utrecht? :-)

> Ik heb dus een ADSL modem/router, met het adres 10.0.0.138.
> Op dit ogenblik zit daar mijn werk-PC aan vast met adres
> 10.0.0.151, die weer 10.0.0.138 als gateway en nameserver
> gebruikt. Mooi, dat werkt, en ik kan er ook van buiten bij
> met ssh.
> 
> Nu wil ik direct achter die router een server zetten, die vanaf
> buiten bereikbaar is, en als firewall voor de andere PCs thuis
> fungeert. Er zitten twee netwerkkaarten in; eentje is opnieuw
> geconfigureerd als 10.0.0.151. Maar nu die ander.

Dit lijkt sterk op de configuratie die ik thuis gebruik.

> Normaal zou ik hem nummer 192.168.10.10 geven, en alle andere
> PC's dat nummer als gateway geven. Vroeger gebruikte ik ook een
> nameserver van IAE. Maar ik slaag er niet in om vanaf een andere
> PC voorbij die server te komen. Dus zie ik iets over het
> hoofd... Nu ik dit schrijf bedenk ik opeens dat ik de
> firewall niet heb opengezet op die server. Dat ga ik na het
> eten meteen doen.

Het makkelijkste is om de firewall op je server helemaal open
te zetten totdat je configuratie klopt. Voor de veiligheid kun
je zolang alle servers uitzetten. Een Linux doos kan als router
fungeren, maar die funktie moet expliciet worden ingeschakeld.
Dan kun je testen of vanaf de server alle interne en externe
adressen te pingen zijn.

Je server krijgt als default gateway 10.0.0.138 en de rest 
van je netwerk krijgt 192.168.10.10 als default gateway. Nu
moet je in het ADSL modem een statische route toevoegen naar
het 192.168.10.0/24 netwerk met 10.0.0.151 als gateway. Het
ADSL modem doet SNAT om verkeer vanaf je lokale netwerken
over het Internet te leiden en kan ook DNAT doen om binnen-
komend verkeer (in mijn geval SSH, SMTP en HTTP) naar de
gewenste server te leiden. 

> Intussen zou iemand me kunnen verdietsen waarom ik die
> tweede netwerkkaart niet ook gewoon een nummer in de 10.0.0-
> range zou kunnen geven. Ik heb het gevoel dat dat niet
> kan, maar kan niet beredeneren waarom niet.

Een netwerk wordt meestal aangegeven door het laagste IP 
adres in de range in combinatie met de 'netmask'. Als die
255.255.255.0 bedraagt dan is het broadcast adres in uw
range 10.0.0.255. (domme vraag: als ik dit bericht naar alle
accounts op het Internet wil zenden, kan ik het dan adresseren
met 'To: all op 255.255.255.255'?) Tenzij u gebruik maakt
van bridging zodat alle binnenkomende pakketten worden
doorgestuurd, dan zal de Linux kernel zijn routing tabellen
moeten raadplegen om uit te maken via welke interface een
binnenkomend pakket (dat niet naar eigen een adres van de
machine moet) dient te worden uitgezonden: als de router een
via eth0 binnengekomen pakket weer via de zelfde verbinding
uitstuurt dan is de routing tabel waarschijnlijk foutief.
Om de routing niet te moeilijk te maken kent u uw interfaces
IP adressen in verschillende netwerken toe, bijvoorbeeld
10.0.0.151 en 10.0.1.151.

(truukje: ik heb op mijn servertje het IP adress 80.126.52.220
met netmask 255.255.255.255 gebonden aan interface lo:1, zodat
verkeer vanaf mijn internet netwerk naar niet naar de externe
interface van mijn ADSL modem, maar naar de server gaat)

> Paai
> 
> (vrijdag is thuiswerkdag :-)

Woensdag hackdag


Daniel

-- 
      _----_
     /      >
    < intel/
     \      Lag behind
      \____/

More information about the Linux mailing list