Debian box som gateway / router

Mit setup er en debian box med to nic's, og et script der sætter iptables op til at lave lidt routing, og blokere nogle ip-ranges, derefter åbner den for ip forwarding.
Der kører også en dhcp/dns server (dnsmasq) på boxen som sørger for dhcp og dns til klienterne i på LAN siden.

du skal bare sætte iptables op nu ja, jeg vil anbefale dig at bruge firehol til det.

firehol er en frontend til iptables, som lader dig meget let lave et setup der gør det du vil, uden du skal tænke for meget over det.

Hvis du gerne vil bruge en GUI er firestarter også en mulighed, den er meget ligetil når det kommer til deling af internet.
Den eneste lille ting der måske skal nævnes, er at du (logisk nok) skal have installeret en dhcp-server før du i firestarter kan aktivere automatisk uddeling af ip-adresser.

på min Debian box jeg bruger til router har jeg shorewall og dnsmasq på, det er nemt at sætte op og fungere meget godt:)

her er en simpel udgave af det jeg bruger. kræver 2 netkort opsat.
212.10.176.14 er den eksterne ip
10.0.0.1 er serverens ip

#! /bin/sh

#variabler
WANIF="eth0"
LANIF="eth1"
WAN="212.10.176.14"
LANNET="10.0.0.0/24"

#oprydning
iptables -F
iptables -X
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -t nat -F

#interfaces
iptables -N int-ext
iptables -N ext-int

#routes
iptables -A FORWARD -s $LANNET -i $LANIF -o $WANIF -j int-ext
iptables -A FORWARD -o $LANIF -j ext-int

#nat
iptables -t nat -A POSTROUTING -o $WANIF -j SNAT --to $WAN


echo 1 > /proc/sys/net/ipv4/ip_forward


og selvfølgelig en dhcp server
her er et eks med dhcpd.

subnet 10.0.0.0 netmask 255.255.255.0 {
range 10.0.0.10 10.0.0.50;
option domain-name-servers 212.10.10.5, 212.10.10.6;
option domain-name "Freex Net";
option routers 10.0.0.1;
option subnet-mask 255.255.255.0;
option broadcast-address 0.255.255.255;
default-lease-time 600;
max-lease-time 7200;
}

subnet 212.10.176.0 netmask 255.255.252.0 {


This is my firewall script.
I use it on my Debian Etch, and the previous version as well.

FW=/sbin/iptables
echo 0 > /proc/sys/net/ipv4/ip_forward
OFF_IP=87.72.XXX.XXX # Firewalls exterior IP.
INET_IF=eth0 # Internet interface
LAN_IF=eth1 # LAN interface

echo “Remove all prior rules including NAT”
$FW -F ; $FW -X ; $FW -Z ; $FW -F -t nat
echo “Set policy”
$FW -P INPUT DROP # Luk alt input
$FW -P FORWARD DROP #
$FW -P OUTPUT ACCEPT # Accepter alt output

echo “Tilladt indefra oprettede forbindelser adgang udefra”
$FW -A INPUT -j ACCEPT -m state –state ESTABLISHED,RELATED
$FW -A FORWARD -j ACCEPT -m state –state ESTABLISHED,RELATED
$FW -t nat -A POSTROUTING -o $INET_IF -j SNAT –to-source $OFF_IP

echo “INPUT rules”
# Accept trafic from LAN
$FW -A INPUT -i lo -j ACCEPT # Server can connect locally
$FW -A INPUT -i $LAN_IF -j ACCEPT # Accepter alt trafik fra LAN

#echo “Allow ICMP packages (Ping)”
#$FW -A FORWARD -p icmp –icmp-type echo-request -j ACCEPT
#$FW -A FORWARD -p icmp –icmp-type echo-reply -j ACCEPT
#$FW -A INPUT -p icmp –icmp-type echo-request -j ACCEPT
#$FW -A INPUT -p icmp –icmp-type echo-reply -j ACCEPT

# Tillad trafik til serveren
$FW -A INPUT -i $INET_IF -j ACCEPT -p tcp –dport 20 # FTP-data
$FW -A INPUT -i $INET_IF -j ACCEPT -p tcp –dport 21 # FTP
$FW -A INPUT -i $INET_IF -j ACCEPT -p udp –dport 21 # FTP
$FW -A INPUT -i $INET_IF -j ACCEPT -p tcp –dport 25 # SMTP
$FW -A INPUT -i $INET_IF -j ACCEPT -p tcp –dport 47 # SSH
$FW -A INPUT -i $INET_IF -j ACCEPT -p udp –dport 47 # SSH
$FW -A INPUT -i $INET_IF -j ACCEPT -p tcp –dport 80 # Apache
$FW -A INPUT -i $INET_IF -j ACCEPT -p udp –dport 80 # Apache
$FW -A INPUT -i $INET_IF -j ACCEPT -p tcp –dport 110 # POP3
$FW -A INPUT -i $INET_IF -j ACCEPT -p udp –dport 110 # POP3
$FW -A INPUT -i $INET_IF -j ACCEPT -p tcp –dport 443 # SSL
$FW -A INPUT -i $INET_IF -j ACCEPT -p udp –dport 443 # SSL

echo 1 > /proc/sys/net/ipv4/ip_forward

Emm den er lidt tricky.
prøv det her. fra mit eks.

erstat:

WAN="212.10.176.14"

med:

WAN=`ifconfig eth0 |awk '/dr:/{gsub(/.*:/,"",$2);print$2}'`

hvor eth0 er dit eksterne netkort

Der er det firewall script i debianguiden som virker perfekt som kan ses her http://www.debianguiden.dk/wiki/Firewall_og_deling_af_internetforbindel… dog skal man være meget opmærksom på at både EXT_IP= & LAN_NET passer til de instillinger man har lavet for sine netkort

/etc/network/interfaces vil så se sådan her ud

auto eth0
iface eth0 inet dhcp

auto eth1
iface eth1 inet static
address 192.168.1.1
netmask 255.255.255.0

hvis det skal passe til scriptet fra siden men derud over kan jeg godt anbefale at installere dnsmasq som kan være en supplering for dhcp3-server
selve konfigurations filen til dnsmasq er meget godt dokumenteret, for at installere firewall scriptet kan det sættes ind i /etc/init.d/firewall men husk at køre chmod +x /etc/init.d/firewall ellers vil den fejle for at smide den på ved opstart skal du køre update-rc.d firewall defaults

Jeg har fået lavet en firewall som jeg håber virker efter planen. Jeg har dog et andet problem nu, jeg kører dnsmasq med dhcp til at uddele ip til LAN. Her er dnsmasq.conf http://pastebin.com/m39521075
Første gang jeg renewede min ip på stationære (xp) fik jeg tildelt 192.168.1.5 , jeg burde jo få xxx.xxx.x.2, da det er sat op til det i .conf . Jeg har naturligvis tjekket at mac-adressen er korrekt. Herefter prøvede jeg at renewe igen, men så ville den ikke længere tildele mig nogen ip, som om at den afviste mig. Er der noget sted jeg kan kigge for at finde ud af hvad der gik galt ?

Håber I kan hjælpe mig igen, skriv hvis I har brug for flere informationer.