Sie sind nicht angemeldet.

Debian Suche "JANA" für sarge

Lieber Besucher, herzlich willkommen bei: Linux Forum Linux-Web.de. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.

bit-hugo

Anfänger

  • »bit-hugo« ist der Autor dieses Themas

Beiträge: 7

  • Nachricht senden

1

19.01.2006, 13:27

Suche "JANA" für sarge

Hallo an alle Spezialisten,

Folgende Aufgabe habe ich zu lösen:
Netz A (192.168.1.0/24) hat einen DSL-Router und damit Internet-Anschluss. OK.
Netz B (192.168.2.0/24) soll den DSL-Anschluss mit nutzen können. Die Netzabschnitte müssen aber getrennt bleiben, also Zugriff aus Netz A auf einen Server in Netz B darf nicht sein.
Meine Idee wäre nun einen Proxy einzurichten um zwischen den Netzabschnitten zu vermitteln. HTTP(S)/FTP ist ja mit squid kein Problem, aber was mache ich um auch POP- und SMTP-Dienste über die Netzgrenzen hinweg zu nutzen?
Im Prinzip bräuchte ich so etwas wie den JANA-Proxy-Server, aus Lizenzgründen kann ich aber für den Proxy kein Windows einsetzen, und JANA gibt's nicht für Linux.
Würde gerne ein debian(sarge) als OS verwenden. Der Proxy bekäme zwei Netzwerkkarten, eine mit einer IP aus Netz A und eine mit einer IP aus Netz B.

In einer Ausbaustufe möchte ich auch weitere Dienste (z.B: nbsession/smb) von Netz A nach Netz B und umgekehrt implementieren.

Wer kann mir konkrete Tipps geben und mich ein wenig unterstützen?

Danke schonmal

Roland

Michael

Meister

  • »Michael« ist männlich

Beiträge: 2 107

Wohnort: www.Bayreuth.de

  • Nachricht senden

2

19.01.2006, 13:39

Das was Du willst, geht mit iptables ganz wunderbar ;)
Und es hat noch einen Vorteil: Du musst nicht bei allen Programmen der Clients spezielle Proxy-Konfigurationen einrichten, sondern nur einmal inder TCP/IP-Konfiguration Gateway und Nameserver ... :)

Ein "übergreifen" ins jeweils "fremde" Netzwerk könntest Du etwa mit folgender Regel erreichen:
iptables -A INPUT -d ! <IP_des_DSL_Routers> -j DROP

Michael
Life is like ice cream: enjoy it before it melts!
"If there is (a God), all evidence indicates that He hates me." - Matt Groening

linuxerr

Prof. Dr. Schlaumeier

  • »linuxerr« ist männlich

Beiträge: 8 557

Wohnort: Mecklenburg, zur Entwicklungshilfe in Chemnitz/Sachsen ;-)

  • Nachricht senden

3

19.01.2006, 13:40

RE: Suche "JANA" für sarge

Zitat

Original von bit-hugo
Hallo an alle Spezialisten,

Folgende Aufgabe habe ich zu lösen:
Netz A (192.168.1.0/24) hat einen DSL-Router und damit Internet-Anschluss. OK.
Netz B (192.168.2.0/24) soll den DSL-Anschluss mit nutzen können. Die Netzabschnitte müssen aber getrennt bleiben, also Zugriff aus Netz A auf einen Server in Netz B darf nicht sein.
Meine Idee wäre nun einen Proxy einzurichten um zwischen den Netzabschnitten zu vermitteln. HTTP(S)/FTP ist ja mit squid kein Problem, aber was mache ich um auch POP- und SMTP-Dienste über die Netzgrenzen hinweg zu nutzen?
Im Prinzip bräuchte ich so etwas wie den JANA-Proxy-Server, aus Lizenzgründen kann ich aber für den Proxy kein Windows einsetzen, und JANA gibt's nicht für Linux.
Würde gerne ein debian(sarge) als OS verwenden. Der Proxy bekäme zwei Netzwerkkarten, eine mit einer IP aus Netz A und eine mit einer IP aus Netz B.

wenn du dort einen rechner als bridge einrichten willst, muss auf diesem nur eine firewall laufen. für netz b ist er dann das standardgateway und routet die anfragen direckt rum isdn-router. damit kanst du sehr flexibel entscheiden welche portanfragen wohin geleitet werden sollen. mit proxys für jedes protokoll machst du dich tot. evenuell noch socks-server.

Zitat


In einer Ausbaustufe möchte ich auch weitere Dienste (z.B: nbsession/smb) von Netz A nach Netz B und umgekehrt implementieren.

:? also dann doch kontakt zum jeweils anderen server :? :? :?
Die Rechtschreibfehler in diesem Beitrag sind nicht urheberrechtlich geschützt.
Jeder der einen findet darf ihn behalten und in eigenen Werken weiterverwenden.

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »linuxerr« (19.01.2006, 13:42)

bit-hugo

Anfänger

  • »bit-hugo« ist der Autor dieses Themas

Beiträge: 7

  • Nachricht senden

4

19.01.2006, 14:12

Vielen Dank für die ersten Anregungen.

Im Einsatz eines HTTP-Proxys sehe ich folgende Vorteile:
1. Ich kann den Surf-Traffic auswerten (z.B. mit webalizer)
2. Ich kann innerhalb des Netzes B sehr dedizierte Benutzerrechte auf die Internet-Nutzung vergeben (z.B. über URL-Filterregeln in squidguard) und Proxy-Authentifizierung.

Fazit: Mein erster Lösungsansatz könnte also so aussehen:
a) Hardware wie beschrieben aufstellen; Netzwerkadapter konfigurieren
b) für http/ftp den squid installieren, das sollte doch funktionieren
c) für pop3/smtp Dienste auf den Ports 113 bzw. 25 entsprechende iptables-Regeln einrichten.

Damit wäre der erste Teil der Anforderungen wohl machbar. Die Clients im Netz B können über den DSL-Router in Netz A surfen und sie können Mails abrufen/senden.

Dann such ich mal ein gutes Tutorial für iptables. Das Thema scheint recht komplex :keineahnung:

Michael

Meister

  • »Michael« ist männlich

Beiträge: 2 107

Wohnort: www.Bayreuth.de

  • Nachricht senden

5

19.01.2006, 14:14

RE: Suche "JANA" für sarge

Zitat

Original von linuxerr :? also dann doch kontakt zum jeweils anderen server :? :? :?


Ich würde den Gateway-Server "in die Mitte" stellen (als Gateway für beide Netze, der DSL-Router in einem dritten Netz -> drei NW-Karten/-Ports), diese Konfiguration ließe noch ein wenig Flexibilität:
So könnte man dann z.B. von beiden Netzen genutzte Dienste in ein seperates Netz bzw. dn das Netz des DSL-Routers packen ...

Ein Bridge-Modus ist nicht wünschenswert, da dann iptables-Regeln auf Hardware-Adressen basieren müssten (geht, ist aber bei Änderungen der Rechnerkonstellationen immer mit Aufwand verbunden)!

Michael
Life is like ice cream: enjoy it before it melts!
"If there is (a God), all evidence indicates that He hates me." - Matt Groening

Michael

Meister

  • »Michael« ist männlich

Beiträge: 2 107

Wohnort: www.Bayreuth.de

  • Nachricht senden

6

19.01.2006, 14:20

> Im Einsatz eines HTTP-Proxys sehe ich folgende Vorteile:
> 1. Ich kann den Surf-Traffic auswerten (z.B. mit webalizer)
> 2. Ich kann innerhalb des Netzes B sehr dedizierte Benutzerrechte auf die Internet-Nutzung
> vergeben (z.B. über URL-Filterregeln in squidguard) und Proxy-Authentifizierung.

Wenn Du ein zentrales Gateway mit transparentem Proxy einrichtest, kannst Du das sogar mit allen Netzen erreichen ;)

> Fazit: Mein erster Lösungsansatz könnte also so aussehen:
> a) Hardware wie beschrieben aufstellen; Netzwerkadapter konfigurieren
> b) für http/ftp den squid installieren, das sollte doch funktionieren
> c) für pop3/smtp Dienste auf den Ports 113 bzw. 25 entsprechende iptables-Regeln einrichten.

Das ginge sicherlich, ist aber nicht sehr elegant ;)
Wenn Du iptables zu schwierig findest, empfehle ich Dir http://www.linux-onlineshop.de/product_i…ewall_Buch.html ;)

Michael
Life is like ice cream: enjoy it before it melts!
"If there is (a God), all evidence indicates that He hates me." - Matt Groening

linuxerr

Prof. Dr. Schlaumeier

  • »linuxerr« ist männlich

Beiträge: 8 557

Wohnort: Mecklenburg, zur Entwicklungshilfe in Chemnitz/Sachsen ;-)

  • Nachricht senden

7

19.01.2006, 14:23

RE: Suche "JANA" für sarge

wenn der gateway in der mitte steht, hättest du auch den vorteil, dass du zb alle webseiten durch den proxy schicken kannst und damit zugriffsstatistiken für netz a und netz b erhälst. ausserdem könnte der rechner auch evtl gewünschten internen mailversand mit übernehmen
Die Rechtschreibfehler in diesem Beitrag sind nicht urheberrechtlich geschützt.
Jeder der einen findet darf ihn behalten und in eigenen Werken weiterverwenden.

bit-hugo

Anfänger

  • »bit-hugo« ist der Autor dieses Themas

Beiträge: 7

  • Nachricht senden

8

19.01.2006, 14:55

Ok, das mit dem zentralen Proxy verstehe ich. Da ich nur das Netz B administriere müsste ich mich mit dem Admin von Netz A über die Vorgehensweise einigen. Der wird die Notwendigkeit nicht sehen. Bin ja schon froh, dass er generell nichts dagegen hat, das wir seinen DSL-Anschluss mit nutzen =D

Braucht der Rechner dann 3 Netzwerkadapter? Vermutlich ja, oder :keineahnung:

Und woher weiss der Adapter, an dem dann der DSL-Router hängt, dass ausgehende Anfragen über den DSL-Router müssen? Wird für diesen Adapter dann die IP-Adresse des DSL-Routers als Standard-Gateway angegeben?

Danke für den Buchtip. Ich denke, so ne Lektüre ist wirklich empfehlenswert.

linuxerr

Prof. Dr. Schlaumeier

  • »linuxerr« ist männlich

Beiträge: 8 557

Wohnort: Mecklenburg, zur Entwicklungshilfe in Chemnitz/Sachsen ;-)

  • Nachricht senden

9

19.01.2006, 15:12

Zitat

Original von bit-hugo
Ok, das mit dem zentralen Proxy verstehe ich. Da ich nur das Netz B administriere müsste ich mich mit dem Admin von Netz A über die Vorgehensweise einigen. Der wird die Notwendigkeit nicht sehen. Bin ja schon froh, dass er generell nichts dagegen hat, das wir seinen DSL-Anschluss mit nutzen =D

na ja, dann wird es aus dem server in der mitte ja nichts, wenn des andere admin auf seinem dsl router sitzt.

wenn der router im netz a bleibt und du dich dort nur einklinken kannst, braucht der rechner zwei netzwerkkarten. die eine liegt mit der ip im netz b und ist für die clienten in dem netz der standardgateway. die andere karte ist mit netz a verbunden und bekommt eine ip von dort. die firewall muss dann mit masquerading aktiviert werden. damit nimmt der rechner dann anfragen aus netz b entgegen und leitet sie mit seiner ip aus netza an den router weiter. vom dsl-router aus gesehen erscheint dein netz b gar nich, da alle anfragen von einer netzwerkkarte aus netz a kommen. die antwortpakete gibt der dsl router dann an die netzwerkkarte deines rechners aus netz a zurück und der dröselt das wieder auf die einzelnen ips im netz b auf (NAT).
prinzipiell lässt sich das auch mit vielen handelsüblichen routern (dsl/wlan) erledigen.

Zitat


Braucht der Rechner dann 3 Netzwerkadapter? Vermutlich ja, oder :keineahnung:

wenn der dsl-router in netz a bleiben muss, nicht

Zitat


Und woher weiss der Adapter, an dem dann der DSL-Router hängt, dass ausgehende Anfragen über den DSL-Router müssen? Wird für diesen Adapter dann die IP-Adresse des DSL-Routers als Standard-Gateway angegeben?

siehe oben
Die Rechtschreibfehler in diesem Beitrag sind nicht urheberrechtlich geschützt.
Jeder der einen findet darf ihn behalten und in eigenen Werken weiterverwenden.

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »linuxerr« (19.01.2006, 15:13)

Michael

Meister

  • »Michael« ist männlich

Beiträge: 2 107

Wohnort: www.Bayreuth.de

  • Nachricht senden

10

19.01.2006, 15:19

Oh la la! Wollt Ihr zwei Firmennetze zusammenschließen?
Wenn ja, gehört da eine gehörige Portion Vertrauen dazu (und bei Problemen kann es schnell zu juristischen Auseinandersetzungen kommen)!!!

Generelles Problem: egal welcher Admin / welche Firma das Gateway zwischen den Netzen administriert, wie kann der jeweils andere sicherstellen, dass auch wirklich in seinem Netz alles vor dem Zugriff aus dem anderen sicher ist ...

Ergo: die Schnittstelle zwischen den Netzen muss für jeden kontrollierbar sein!

Michael
Life is like ice cream: enjoy it before it melts!
"If there is (a God), all evidence indicates that He hates me." - Matt Groening

bit-hugo

Anfänger

  • »bit-hugo« ist der Autor dieses Themas

Beiträge: 7

  • Nachricht senden

11

19.01.2006, 16:23

Danke Michael,

die Vertrauensstellung zwischen den beiden Netzen ist natürlich nur bedingt gegeben, da hast Du Recht.
Einigung besteht aktuell tatsächlich nur in der gemeinsamen Nutzung des DSL-Anschlusses, da die Kollegen aus Netz A ne Flatrate haben und durch unser Mit-Schmarotzen keine Mehrkosten entstehen. Allerdings haben die Einheiten auch gemeinsame Daten zu verwalten, daher eben auch der Hinweis auf die "Ausbaustufe" bei der wir uns einen Fileserver teilen wollen.
Wegen unterschiedlicher Rechtsstellungen dürfen die Netze aber nicht einfach zusammengelegt werden. Ergo: Wir müssen dann im Einzelfall immer prüfen welche Zugriffe auf das jeweils andere Netz übergreifen.
Und ja: die Schnittstelle zwischen den beiden Netzen muss kontrollierbar sein.

Genau deshalb will ich ja jetzt gleich ne professionelle Lösung.

Michael

Meister

  • »Michael« ist männlich

Beiträge: 2 107

Wohnort: www.Bayreuth.de

  • Nachricht senden

12

19.01.2006, 16:38

Also die Basisantwort in der Informatik lautet ja i.d.R. "kommt drauf an", solltet Ihr tatsächlich zwei vollkommen unterschiedliche Firmen (und nicht nur zwei Abteilungen) sein empfehle ich: "jeder kümmert sich um seine Zuständigkeiten".
Soll heißen: Zwei Gateways zwischen den Netzen, und jeder administriert "seins" ...
Netz A <-> GW A (lässt nur Verbindungen zum DSL-Router zu) <-> GW B (blockiert neue Verbindungen aus Netz A) <-> Netz B

Sollte ein gemeinsamer Datenaustausch später einmal gefordert werden, könnte man an jeder beliebigen Stelle - bevorzugt aber zwischen den Netzen - einen Fileserver bzw. Applikationsserver positionieren. (theoretisch könnte man auch die Gateways dazu missbrauchen, da aber jede Anwendung potentielle Sicherheitslücken aufweist, würde auch das Netz des "missbrauchten" Gateways potentiell geschwächt!

Michael
Life is like ice cream: enjoy it before it melts!
"If there is (a God), all evidence indicates that He hates me." - Matt Groening

bit-hugo

Anfänger

  • »bit-hugo« ist der Autor dieses Themas

Beiträge: 7

  • Nachricht senden

13

19.01.2006, 16:54

OK.
Ge-Share-ten Fileserver in die Mitte stellen ist ne gute Idee.
Dann bleibt wahrscheinlich nur noch eines übrig.
Wie müsste so ein Gateway im Netz A aussehen, dass Terminal-Sessions von Clients des Netztes A auf einen Windows-Terminal-Server im Netz B zulässt?
Dass könnte man doch dann auch mit ner Firewall (iptables) bewerkstelligen, die nur den RDP-Port duchlässt. Oder :keineahnung:

linuxerr

Prof. Dr. Schlaumeier

  • »linuxerr« ist männlich

Beiträge: 8 557

Wohnort: Mecklenburg, zur Entwicklungshilfe in Chemnitz/Sachsen ;-)

  • Nachricht senden

14

19.01.2006, 16:55

Zitat

Original von bit-hugo
Genau deshalb will ich ja jetzt gleich ne professionelle Lösung.

netz b besorgt sich einen eigenen dsl zugang, das wäre professionell.

Zitat


Allerdings haben die Einheiten auch gemeinsame Daten zu verwalten, daher eben auch der Hinweis auf die "Ausbaustufe" bei der wir uns einen Fileserver teilen wollen.

wie michael schon vorgeschlagen hat, ein applikations/fileserver zwischen den netzen mit getrennten netzwerkkarten. und selbst da wird es noch genug probleme geben.
Die Rechtschreibfehler in diesem Beitrag sind nicht urheberrechtlich geschützt.
Jeder der einen findet darf ihn behalten und in eigenen Werken weiterverwenden.

Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von »linuxerr« (19.01.2006, 16:56)

Michael

Meister

  • »Michael« ist männlich

Beiträge: 2 107

Wohnort: www.Bayreuth.de

  • Nachricht senden

15

19.01.2006, 19:24

Zitat

Original von bit-hugoWie müsste so ein Gateway im Netz A aussehen, dass Terminal-Sessions von Clients des Netztes A auf einen Windows-Terminal-Server im Netz B zulässt?
Dass könnte man doch dann auch mit ner Firewall (iptables) bewerkstelligen, die nur den RDP-Port duchlässt. Oder :keineahnung:

Ich bin mir nicht sicher wie RDP aussieht ...
Da aber der Zugriff auf den Terminalserver wieder einen "fremden im eigenen Netz" darstellt, wäre auch der ein Fall für die demilitarisierte Zone (sofern er nicht irgend welche weiteren Abhängigkeiten wie z.B. einen Fileserver benötigt) ;)


Michael
Life is like ice cream: enjoy it before it melts!
"If there is (a God), all evidence indicates that He hates me." - Matt Groening

linuxerr

Prof. Dr. Schlaumeier

  • »linuxerr« ist männlich

Beiträge: 8 557

Wohnort: Mecklenburg, zur Entwicklungshilfe in Chemnitz/Sachsen ;-)

  • Nachricht senden

16

19.01.2006, 19:53

so langsam bekomme ich einen knoten im kopf. ich verstehe nicht ganz, was das ganze soll?
es geht um adsl-sharing, das ist nicht ganz ungefährlich und stellt auch ein risiko für admin a dar. zugriffe der server gegenseitig müssen unterbunden werden. dann soll später smb/nmb wieder geroutet werden. die netzwerke müssen aus rechtlichen gründen aber getrennt bleiben, sollen aber auf gleiche server zugreifen. jetzt geht es um den zugriff auf einen terminalserver im anderen netz........HILFE?????? was soll das werden?????

Zitat


Wegen unterschiedlicher Rechtsstellungen dürfen die Netze aber nicht einfach zusammengelegt werden.

was ist den ein kontakt zum anderen server ?? etwa keine zusammenlegung? da kannst du ja gleich eine strippe rüberziehen.
willst du wissen wie man in ein anderes netz einbricht, wenn man durch einen router kommt oder was??? die vorgaben ändern sich andauernd
bit-hugo weist du wirklich was du eigentlich willst???
mir ist das irgendwie zu hoch, da ist doch keine linie drin, wie will man da administrieren? oder treibst du hier planspiele, so nach dem motto: wie müsste man denn das machen und das und das ....... :crazy: :crazy: :crazy: :crazy: :crazy: :crazy: :crazy: :crazy:
Die Rechtschreibfehler in diesem Beitrag sind nicht urheberrechtlich geschützt.
Jeder der einen findet darf ihn behalten und in eigenen Werken weiterverwenden.

bit-hugo

Anfänger

  • »bit-hugo« ist der Autor dieses Themas

Beiträge: 7

  • Nachricht senden

17

20.01.2006, 14:33

Danke für Deine Beteiligung linuxerr,

ich mach mir jetzt nicht die Mühe Dir das weiter zu erklären und konzentriere mich auf die qualifizierten Kommentare von Michael. Das bringt mich eher weiter.

linuxerr

Prof. Dr. Schlaumeier

  • »linuxerr« ist männlich

Beiträge: 8 557

Wohnort: Mecklenburg, zur Entwicklungshilfe in Chemnitz/Sachsen ;-)

  • Nachricht senden

18

20.01.2006, 21:30

ok, ok,
ich muss meine zeit hier auch nicht verschwenden. vielleicht kannst du aber trotsdem noch so viel zeit aufbringen mal deine eigenen beiträge zu lesen, vielleicht gibt dir das ja zu denken und du entdeckst die eine oder andere dequalifizierung. hier mal ein paar zitate:

Zitat


Die Netzabschnitte müssen aber getrennt bleiben, also Zugriff aus Netz A auf einen Server in Netz B darf nicht sein.

Zitat


In einer Ausbaustufe möchte ich auch weitere Dienste (z.B: nbsession/smb) von Netz A nach Netz B und umgekehrt implementieren.

zitate aus dem ersten artikel, ein widerspruch in sich!!

Zitat


Und woher weiss der Adapter, an dem dann der DSL-Router hängt, dass ausgehende Anfragen über den DSL-Router müssen? Wird für diesen Adapter dann die IP-Adresse des DSL-Routers als Standard-Gateway angegeben?

du willst ein routing/firewall-problem lösen und hast von nat keine ahnung?

Zitat


Ok, das mit dem zentralen Proxy verstehe ich. Da ich nur das Netz B administriere müsste ich mich mit dem Admin von Netz A über die Vorgehensweise einigen. Der wird die Notwendigkeit nicht sehen. Bin ja schon froh, dass er generell nichts dagegen hat, das wir seinen DSL-Anschluss mit nutzen Schön Grinsend

Braucht der Rechner dann 3 Netzwerkadapter? Vermutlich ja, oder Ahnungslos

die frage hatte michael zwei beiträge vorher schon beantwortet. drei nw-karten machen aber nur sinn, wenn der dsl-router da ran kommt. aber wie du selbst schreibst, wird der admin a die notwendikgeit nicht sehen, also unsinn.
davon mal abgesehen kann der admin a immer deinen netzwerktraffic scannen, was ich auch tun würde, wenn einer meinen dsl-anschluss missbraucht, denn rechtlich verantwortlich wäre ich und den bären würde ich mir nie aufbinden.
ok genug weitere zeit verschwendet. viel spass noch bei der konfiguration.
Die Rechtschreibfehler in diesem Beitrag sind nicht urheberrechtlich geschützt.
Jeder der einen findet darf ihn behalten und in eigenen Werken weiterverwenden.

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »linuxerr« (20.01.2006, 21:43)

Thema bewerten