|
|
|
|
|
|
Nabend,
habe mir einen Server gebaut, auf dem MythBuntu läuft. Der Server hat zwei NICs und ist damit in zwei verschiedenen Netzen. Nun möchte ich, dass diese Netze auch wirklich voneinander getrennt sind. Das eine Netz ist mein eigenes, das andere das meines Nachbars. Als ich mittels smbmount seine Freigaben auf meinem Server gemountet habe und mit meinem Desktop-PC auf die Freigaben auf meinem Server zugegriffen habe, meinte mein Nachbar er würde sämtliche Clients in meinem Netzwerk sehen können (Desktop PC, Notebook,...). Das will ich aber eben genau nicht.
Routet Ubuntu standardmäßig zwischen den beiden Netzen? Wie kann ich das verhindern? Mit IP-Tables? Wie müsste das in etwa aussehen...?
Grüße
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.2.0 * 255.255.255.0 U 1 0 0 eth0
192.168.1.0 * 255.255.255.0 U 1 0 0 eth1
link-local * 255.255.0.0 U 1000 0 0 eth0
default 192.168.2.1 0.0.0.0 UG 0 0 0 eth0
192.168.2.x ist mein Netz, 192.168.1.x das vom Nachbar.
|
|
|
|
|
|
|
|
|
|
|
Naja, default geht nach 192.168.2.1 (letzte Zeile), was wiederrum in 192.168.2.0 liegt (1. Zeile) und schon ist man bei "dir".
// Was is denn diese 192.168.2.1, DSL-Router oder sowas? Am einfachsten wärs wohl, den woanders hinzutun, sodass default nicht mehr in dein Netz führt. Falls das nicht geht oder dein Nachbar auch auf die Adresse zugreifen soll, müsstest du mit IPtables alles blocken, was aus seinem Netz in deins geht aber nicht für diese eine Adresse bestimmt ist.
|
|
[Dieser Beitrag wurde 2 mal editiert; zum letzten Mal von Rufus am 14.04.2011 0:06]
|
|
|
|
|
|
|
|
|
Das klingt logisch, Danke für den Hinweis!
Wie du richtigerweise erraten hast, handelt es sich bei 192.168.2.1 um einen Router. Allerdings möchte ich mit dem Server weiterhin ins Internet kommen, wobei ich dafür auch die (ohnehin schnellere) Leitung meines Nachbars nehmen könnte. Wenn ich die default route auf 192.168.1.1 umbiege wäre das Problem gelöst, oder?
Desweiteren soll er zwar Zugriff auf meinen Server haben, jedoch nicht auf mein Netz. Denn nur dafür habe ich mir 2 NICs zugelegt.
|
|
|
|
|
|
|
|
|
|
|
Eher nicht, war etwas vorschnell beschrieben, glaub ich. Das mit der Default-Route ist nicht die Ursache, sondern nur ein Symptom. Denn die ersten beiden Routen vermitteln jeden, der von irgendwoher auf dem Server ankommt weiter in beide Netze.
Was du also bräuchtest wäre etwas, was wirklich aktiv blockt bzw. Absenderdaten auswerten kann. Beides kannst du allein mit Routen nicht machen. Von daher war die Richtung IPtables schon richtig. Du musst also eine Regel definieren, dass der Server zwar Pakete aus 192.1.1.0/24 bzw. eth1 annimmt, aber nichts forwarded. Dann käme dein Nachbar auf den Server, aber von dort eben nicht mehr weiter. Und genau das willst du ja erreichen. Probier das doch einfach mal aus, sollte mit einem Tutorial zu IPtables nicht schwer umzusetzen sein..
|
|
|
|
|
|
|
|
|
|
|
Wie waere es, forwarding fuer eth1 einfach zu deaktivieren:
echo 0 > /proc/sys/net/ipv4/conf/eth1/forwarding
bzw. dann via sysctl(1) / sysctl.conf(5)
net.ipv4.conf.eth1.forwarding=0
setzen?
|
|
|
|
|
|
|
|
|
|
|
|
Auch wieder was gelernt..
|
|
|
|
|
|
|
|
|
|
|
|
Waere ja noch schoener, wenn jede NIC tun koennte, was sie woellte.. und netter Bender @OP
|
|
|
|
|
|
|
|
|
|
|
Danke euch beiden!
Gestern hab ich das von teK vorgeschlagene Zeug mal gemacht.
Für mich sah es aber aus, als wäre das ohnehin schon default gewesen.
Bin ich mit den Einstellungen sicher? Oder soll ich doch noch zusätzlich iptables einrichten? Wie könnte ich testen, dass jetzt echt nichts mehr durchkommt?
|
|
|
|
|
|
|
|
|
|
|
Da muss ich an tek abgeben, keine Ahnung wie weit diese Lösung reicht. IPtables zusätzlich dürfte wohl überflüssig sein, sonst wär das ja keine Lösung, sondern fürn Arsch. 
Und am einfachsten überprüfst du das ganze vermutlich, indem du ein Gerät an eth1 hängst und halt schaust, was geht und was nicht. Dem Interface ist es ja egal, ob da dein Nachbar oder dein Laptop dranhängt. 
// Ach so, tek: Ist das bootfest?
|
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von Rufus am 20.04.2011 18:40]
|
|
|
|
|
|
|
|
|
Was aktuell eingestellt ist, kriegst du ganz einfach mit
cat /proc/sys/net/ipv4/conf/eth1/forwarding
raus. Bootsfest wird der Schuh, wenn du ihn in die /etc/sysctl.conf eintraegst (Details verraet man 5 sysctl.conf).
Klar kann man sich mit iptables zwei Regeln basteln, die Pakete von jeweils einem ins andere Netz wegwerfen (das Forwarding wuerde ich trotzdem deaktivieren).
Evtl. waere das so einfach wie
iptables -i eth0 -o eth1 -j REJECT
iptables -i eth1 -o eth0 -j REJECT
ist aber ungetestet.
Bitte teste doch einfach Mal,
a) was momentan fuer das Forwarding eingestellt ist (a la sysctl -A | grep -i forward)
b) ob der Blick in dein heimisches Netz noch funktioniert, wenn du das Forwarding fuer eth1 deaktivierst (und zwar ohne die obigen Regelfragmente).
|
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von teK am 20.04.2011 20:27]
|
|
|
|
|
|
|
|
|
Sorry für meine übertrieben späte Antwort, hatte Klausuren und danach wurde erst gebührend gefeiert. Die letzten Abende habe ich aber wieder mit basteln verbracht. Danke für all eure Tipps! Hab das meiste umgesetzt und bin mir auch relativ sicher, dass nun alles dicht ist. Spaßeshalber habe ich mit ufw auch noch ein paar Regeln aufgesetzt. Die iptables Regeln von teK funktionierten so, wie sie dastehen nicht ganz, hab es nicht hinbekommen die zu korrigieren. Dürfte aber auch nicht mehr nötig sein, denke ich.
Nochmal Danke für alle Tipps!! 
|
|
|
|
|
|
|
|
| Thema: 2 NICs, 2 getrennte Netze |
