Ubuntu Server som router [LÖST]

[Urme]

Har googlat lite, jag har själv tänkt sätta upp en linuxdator som router...

Den här guiden verkar vara vettig, det ser i alla fall enkelt ut. > https://help.ubuntu.com/community/Router

Såg den guiden tidigare också, men såg inte 100% komplett ut, t.ex Firewall scriptet hur ska det användas i praktiken egentligen? Bara spara det i någon katalog?

[Rune.K]

Har googlat lite, jag har själv tänkt sätta upp en linuxdator som router...

Den här guiden verkar vara vettig, det ser i alla fall enkelt ut. > https://help.ubuntu.com/community/Router

Såg den guiden tidigare också, men såg inte 100% komplett ut, t.ex Firewall scriptet hur ska det användas i praktiken egentligen? Bara spara det i någon katalog?

Tänkte mest på "4.4. Configuring the Internal Network Interfaces"

Brandvägg är väl det sista man tänker på i linux...
Det viktiga är att säkra de tjänster som är öppna mot internet i första hand.
Vad som är viktigt till exempel med ssh är att INTE tillåta login som root och inte ha alltför lätta lösenord typ john/john.

[Urme]

Men för en absolut minimal router funktion skulle det alltså räcka med att ändra /etc/network/interfaces så den är korrekt?

Edit: Har gett upp för idag att få igång denna router, ska ta nya tag imorgon efter jobbet

[Emil.s]

Men för en absolut minimal router funktion skulle det alltså räcka med att ändra /etc/network/interfaces så den är korrekt?

Edit: Har gett upp för idag att få igång denna router, ska ta nya tag imorgon efter jobbet

För att få upp en minimal router funktion så räcker det med dessa 3 rader:
ifconfig interface1 *ip* (externt)
ifconfig interface2 *ip* (internt)
echo 1 > /proc/sys/net/ipv4/ip_forward

Klart. För NAT så är det en rad till:
iptables -t nat -A POSTROUTING -o interface1 -j MASQUERADE

Svårare än så är det inte.

Sen kan man ju bygga ut med brandvägg och hela köret...

[mcNisse]

Blir inte klienterna jobbiga att konfigurera med den routern? Måste man inte knappa in ip, nätmask, gateway och dnser manuellt?

[Emil.s]

Blir inte klienterna jobbiga att konfigurera med den routern? Måste man inte knappa in ip, nätmask, gateway och dnser manuellt?

Mjo, men det gör man ju bara en gång endå... Om man inte pillar och installerar om var och varannan dag som jag.

Men hur som helst så är det ju varken jobbigt eller svårt att sätta upp en DHCP-server om man vill ha en sån.
Har skrivit en egen guide om det här:
http://sandnabba.se/shorewall (längst ner)

[Urme]

Okej nu har testat igen, det enda jag har gjort nu är som två poster ovan.

Så här ser min /etc/network/interfaces ut:

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth0
iface eth0 inet dhcp

#Interna network
iface eth1 inet static
address 192.168.1.1
netmask 255.255.255.0
broadcast 192.168.1.255

auto eth1

Sedan har jag skrivit in detta:
echo 1 > /proc/sys/net/ipv4/ip_forward
Denna ställer dock om sig till 0 igen när jag bootar om burken, varför?

Skrev även in detta:
iptables -t nat -A POSTROUTING -o interface1 -j MASQUERADE

Har suttit och läst en del om iptables också, så skrev in detta:
iptables -A FORWARD -j ACCEPT

Nätverket internt funkar kanon, jag kan gå in på \\192.168.1.1 från min vista burk, som har inställningarna:
IP: 192.168.1.10
NÄTMASK: 255.255.255.0
Gateway: 192.168.1.1
DNS: Bredbandsbolagets DNS servrar.

Kommer dock inte ut på nätet från Vista burken, försöker pinga IP/Adresser och får bara kunde inte nå måldatorn. Kan SSH:a till 192.168.1.1 internt och testar internet på ubuntuservern och där funkar det.

Jag tror seriöst jag har slagit i huvudet som liten och missat något uppenbart

Har även testat en annan switch bakom routern ifall det skulle vara den, men samma resultat.

Vad har jag misat?

[Rune.K]

En offtopic-fråga.
Varför väljer du just Ubuntu Server som router?

[mcNisse]

iptables -t nat -A POSTROUTING -o interface1 -j MASQUERADE

Du måste byta ut interface1 mot ett interface som finns på din dator. Tror att det är det externa, eth0. Men jag är inte säker. Du måste dessutom tömma reglerna innan du lägger till en regel till.

[Urme]

iptables -t nat -A POSTROUTING -o interface1 -j MASQUERADE

Du måste byta ut interface1 mot ett interface som finns på din dator. Tror att det är det externa, eth0. Men jag är inte säker. Du måste dessutom tömma reglerna innan du lägger till en regel till.

Jo jag skrev eth0, jag kopierade bara dock det du skrev för att skriva i posten.
Men om jag skriver iptables -L då syns inte MASQUERADE regeln va? Hur kan man lista själva den regeln?

[Urme]

En offtopic-fråga.
Varför väljer du just Ubuntu Server som router?

Är för snål för att köpa en router som klarar 100/10

[webaake]

iptables -F
iptables -t nat -F
iptables -t mangle -F

Flushar väl alla regler, tror jag.

PS En ubunutrouter är en utmärkt router - obegränsade regler,ofantliga mängder minne jämfört med en hårdvarurouter osv. Den kan också användas till annat, server, P2P m m.

[Urme]

Framsteg!

Just nu sitter jag bakom routern. Gjorde om allt igen och nu funkade det. DOCK är det ett litet problem ändå.
Bootar jag om burken så har detta ändrats:

/proc/sys/net/ipv4/ip_forward

Där står det 0 igen och jag måste skriva
echo 1 > /proc/sys/net/ipv4/ip_forward igen

Jag måste även skriva in
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
efter jag bootade om. Om jag gör dessa två ändringar poppar routern igång igen efter en reboot, hur kan jag lösa detta? Och varför sparas inte detta?

[mcNisse]

Du behöver stoppa in vissa saker i bootskripten.

Jag skulle som jag redan sagt installera shorewall. Följ emils.s guide. Den sätter upp att du har forwarding och nat och dessutom får du en brandvägg.

Annars gör du ett skript: Stoppa in

Kod: Markera allt

#!/bin/sh
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

i en fil /etc/init.d/fw. som du kör sudo chmod +x /etc/init.d/fw och sudo update-rc.d fw defaults så borde det köras vid uppstart...

[Rune.K]

Det var roligt att höra att det funkar!
Nu är det nog bara små problem kvar!
Kan tyvärr inte hjälpa dej, men följer med stort intresse den här tråden.

En offtopic-fråga.
Varför väljer du just Ubuntu Server som router?

Vad jag menade, varför inte välja Debian Etch eller Lenny istället?

[Emil.s]

Istället för att köra "echo 1 > /proc/sys/net/ipv4/ip_forward", så ändra/lägg till:
net.ipv4.ip_forward=1

i /etc/sysctl.conf

[Urme]

Testat att köra in Shorewall nu, i masq filen, kan man skriva så här?

#INTERFACE SOURCE ADDRESS PROTO PORT(S) IPSEC MARK
eth0 192.168.1.0/24 DETECT

Istället för det som stod i guiden här http://sandnabba.se/shorewall

#INTERFACE SOURCE ADDRESS PROTO PORT(S) IPSEC MARK
eth0 10.0.0.0/24 91.95.226.62

Eftersom jag har ett dynamiskt ip från BBB, så borde jag väl kunna köra in DETECT där IP:et står?

Har dock testat detta men funkar inte tappar internet när jag kör shorewall start. Har följt den guiden för varje punkt. Flushar jag iptables och skriver:
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
så poppar det gång igen, så funderar på vad som fattas/är fel i Shorewall configen.

Ska jag avkommentera något i /etc/network/interfaces nu när jag kör detta? Det ska jag inte va?

[Urme]

Har nu fått det att fungera med Shorewall Ändrade i shorewall.conf till IP_FORWARDING=On
La även till så jag kan ssh:a internt/utifrån, men bara webbservern kommer jag åt internt etc. Jävligt smidigt

När jag bootar om burken nu måste jag skriva "shorewall start" dock, är tanken att jag bara lägger det i en fil som körs vid uppstart då?

EDIT: Tro det eller ej, men servern tappar internet, men klienterna bakom lyckas använda internet... felsöker

EDIT2: Verkar vara nå strul med DNS:en, jag kan pinga IP men inte aftonbladet.se t.ex, på burkarna bakom routern har jag angett BBB's DNS:er. I filen /etc/resolv.conf så finns 4 DNS servrar som är BBB's. Måste jag configa shorewall på något sätt för DNS?

EDIT3: La in detta i /etc/shorewall/rules
DNS/ACCEPT $FW net
DNS/ACCEPT $FW loc


Nu funkar nog allt tror jag Körde även in dnsmasq igen så jag kan köra DHCP bakom routern.

Edit4: Istället för att lägga in regler för allt som $FW (routern) får göra i /etc/shorewall/rules la jag in:
fw all ACCEPT

i /etc/shorewall/policy

[Mekaniserad Apelsin]

Men för en absolut minimal router funktion skulle det alltså räcka med att ändra /etc/network/interfaces så den är korrekt?

Edit: Har gett upp för idag att få igång denna router, ska ta nya tag imorgon efter jobbet

För att få upp en minimal router funktion så räcker det med dessa 3 rader:
ifconfig interface1 *ip* (externt)
ifconfig interface2 *ip* (internt)
echo 1 > /proc/sys/net/ipv4/ip_forward

Klart. För NAT så är det en rad till:
iptables -t nat -A POSTROUTING -o interface1 -j MASQUERADE

Svårare än så är det inte.

Sen kan man ju bygga ut med brandvägg och hela köret...

Bortsett från att de flesta har dynamisk ipadress externt och antagligen vill sätta upp en dhcp-server... Men jepp.