Server Gateway mit Firewall

K

Killer3d

Neuling
Thread Starter
Mitglied seit
05.05.2006
Beiträge
402
Hallo,

Ich plane eine Lan.
Ich habe einen Server (2,4 Ghz).
Ich möchte gerne das alle Personen beschränkt Internet haben:

ABER die Leute sollten höchstens in Steam reinkommen können und in ICQ.......

Deshalb meine frage:

Ich weise den Router den Server zu so das nur der Server mit der Mac adresse Internet bekommt.

Wie kann ich es machen das meine Leute auf der Lan sich vom Server das internet hohlen ?
Und gibt es ein Pogrammm wo man nur bestimmte Ports für die CLienten Freigeben kann ?

MfG Killer3d

p.s. Ich habe versucht einen PC zu nehmen und die Gateway des Servers einzustellen. Aber der PC bekommt kein Internet.......


Mein Betribsystem: Windows Server 2003

Kleines ErklärungsBild:

lan.jpg
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Auf jedem besserem Router kannst du Macfilter und Portbeschränkung aktivieren, selbst aufm D-Link 514+ geht das. Dann solltest du keine Probleme haben und kannst dir den Weg übern Server sparen.
 
ich habe hier 2 Router stehen und die können es aber nicht mit ports und so also eine firewall habe ich jetzt

jetzt muss ich es nurnoch hinbekommen das sich die clients das internet vom server hohlen

MfG
 
nettes openbsd aufsetzen, generell nur steam, dns, icq durchgehen lassen und nen ipsec unbesch. fuer den server.

Mfg ich
 
ja das habe ich auch schon versuch aber leider kann die Option

Gemeinsame Nutzung der Internetverbindung nicht anklicken :(

ich habe Nur eine Netzwerkkarte und die ist an meinen Switch angeschlossen und der switch am router......

Ich kann die Option bei meiner ganz normalen Lan-Verbindung nicht finden :(

http://www.netzwerktotal.de/netzwerkwin2k.htm

MfG
 
Kann man dort nicht einfach auf den Server ne VM laufen lassen, in welcher ne IPCop Installation rennt, dort kannst du die Ports zumachen und Regeln erstellen.
Dank VMWare Server (kost ja nix) kannst du auch die beiden für IPCop benötigten NICs über die gleiche physikalisch vorhandene Netzwerkkarte bridgen lassen.
Dann einfach bei den Clients als Gateway/DNS die IP der grünen Schnittstelle eintragen und beim Browser der Clients "einstellung Automatisch suchen" oder ähnliches (je nach Browser) anklickern, schon sollte die Sache laufen.
Dann kannst du die Rote Schnittstelle von IPCop und die IP des Routers in ein anderen IP Bereich auslagern und somit verhindern, das findige Programme ggf. den IPCop umgehen. (Weil hängt ja bei dir alles am gleichen Switch)

Und du hast den Vorteil, du kannst den IPCop auch mal Rebooten ohne die komplette Maschine neustarten zu müssen... ;)
 
fdsonne schrieb:
Kann man dort nicht einfach auf den Server ne VM laufen lassen, in welcher ne IPCop Installation rennt, dort kannst du die Ports zumachen und Regeln erstellen.
Dank VMWare Server (kost ja nix) kannst du auch die beiden für IPCop benötigten NICs über die gleiche physikalisch vorhandene Netzwerkkarte bridgen lassen.
Dann einfach bei den Clients als Gateway/DNS die IP der grünen Schnittstelle eintragen und beim Browser der Clients "einstellung Automatisch suchen" oder ähnliches (je nach Browser) anklickern, schon sollte die Sache laufen.
Dann kannst du die Rote Schnittstelle von IPCop und die IP des Routers in ein anderen IP Bereich auslagern und somit verhindern, das findige Programme ggf. den IPCop umgehen. (Weil hängt ja bei dir alles am gleichen Switch)

Und du hast den Vorteil, du kannst den IPCop auch mal Rebooten ohne die komplette Maschine neustarten zu müssen... ;)
Zum Vergrößern anklicken....

warum extra eine VM? Einfach zb. Debian drauf und ein paar iptables regeln. Dazu noch die anderen Serverfunktionen und fertig :)

Zum Thema IPCOP und VM: http://www.ipcop-forum.de/unipcop.php
 
so ich habe es jetzt geschafft das der client vom server internet nimmt jetzt fehlt mir nurnoch eins:

Wie kann ich Ports Sperren bzw nur bestimmte freigeben ?
 
Am besten wäre es wenn du uns jetzt sagst, wie du das Internet für den Clients zur Verfügung stellst.
 
Lord_Bender schrieb:
warum extra eine VM? Einfach zb. Debian drauf und ein paar iptables regeln. Dazu noch die anderen Serverfunktionen und fertig :)

Zum Thema IPCOP und VM: http://www.ipcop-forum.de/unipcop.php
Zum Vergrößern anklicken....

Neja warum extra VM, einfach weil wir nicht wissen was er noch für Dienste auf dem Server laufen lässt...
Im seinem Falle von Server 2003 wäre ein AD denkbar welche sich so einfach ja nicht mit Linux realisieren lassen.

Der Ersteller des Artikels dort in deinem Link hat mit Sicherheit auch recht, die Frage wäre nur, wie viel macht diese mögliche Hintertür welche man sich durch die VM offen lässt, wirklich im privatgebrauch aus. Bzw. kann man damit leben!?

Ich glaube viel eher mal, der durchschnits User will eigentlich ne halbwegs sichere Verbindung haben, wo er die Anfragen ans Netz filtern kann und gleichzeitig Angreifer weitestgehend vom Netz fern halten kann.
Die absolute Sicherheit wollen zwar mit Sicherheit viele haben, aber dafür laufen auf deren Systemen noch viel zu viele andere Dinge, welche potenziel noch viel größere Türen offen lassen... als die IPCop in VM Lösung.

Aber gut im Grunde gehörts so ganz ja nicht zum Thema... ;)
 
Hab erstmal ne 2 Lan-Karte ans Netz angeschlssen
Ich bin auf die Eigenschaften meiner Lanverbindung gegangen und habe bei Erweitert den Harken bei "gemeinsame Nutzunge der Internetverbindung" gemacht und dannach gings

nur wie geht das mit der scheiss firewall
 
Zuletzt bearbeitet:
Hm hast Du jetzt zwei NIC's im Server?
Welchem Subnet sind die beiden zugeordnet?

Ich selber hab das ganze bei mir so gelöst:

Windows Server 2003 - 4 NIC's. Für mein Sub Net geht das so:

NIC0 SubNet LAN0 --> Server DC 192.168.1.75
.
.
.
NIC3 SubNET WAN0 --> 192.168.5.254

Das läuft nun so, dass mein Subnetz vom DC auf die WAN Schnittstelle 192.168.5.254 geroutet werden. Die Subnetze der Nachbarn werden direkt auf die WAN Schnittstelle geroutet und haben keinen Zugriff auf den Server, ausser DNS und DHCP. Die WAN Schnittstelle des Servers reicht nun die Verbindungen an den Router mit IP Adresse 192.168.5.1 weiter und dieser ins Inet. Im Prinzip entsteht so eine DMZ in welchem bei mir ein FTP Server steht. Warum ich das so gemacht habe, ist weil der Router keine "Ausgehenden" Ports oder Protokolle sperren kann, das was Du ja haben willst.

Nun kommt der Windows Server 2003 ins Spiel. Hier must Du unter Serververwaltung --> Funktion hinzufügen --> VPN/ RAS Server auswählen und einrichten.

Ist dies gemacht, klicke diese neue Rubrik "VPN/ RAS Server verwalten" an. Es erscheint ein Fenster " Routing und RAS " in welchem alle NIC's aufgelistet werden. Nun wähle den NIC Nr2 nicht den DC NIC an und vergib die IP für das Sub Net des Routers.

Wähle nun den Reiter NAT/ Basisfirewall - Rechts siehst Du die beiden NIC's. --> Nun mit der rechten Maustaste auf die Schnittstelle klicken welche den Traffic ins Netz Routen soll. In der aufpoppenden Maske must Du wählen:

Schnittstellentyp: An das Internet angeschlossene öffentliche Schnittstelle.
NAT auf dieser Schnittstelle aktivieren
Basisfirewall auf dieser Schnittstelle aktivieren.

Unter Statische Paketfilter kannst Du unter dem Button "Ausgehende Filter" Verbindungen mittels IP Adressen oder Ports zulassen oder verweigern.

Ferner ist nicht zu vergessen, dem DC mitzuteilen wo er den Traffic hinrouten soll, nämlich auf die eben eingerichtete Schnittstelle.


Falls was nicht klar ist, einfach fragen.


Greetz MAC_Ferrari
 
okay jetzt wirds schwer..... ALSO


Lan Verbindung 1:
_________________

192.168.66.104
255.255.255.0
192.168.66.2
192.168.66.2

Lan-Verbindung 2:
_________________

192.168.66.180
255.255.255.0
192.168.66.2
192.168.66.2

Dann ist Lanverbindung 1 unter "Routing und RAS" bei "NAT/BasisFirewall" eingetragen mit:

Schnittstellentyp: An das Internet angeschlossene öffentliche Schnittstelle.
NAT auf dieser Schnittstelle aktivieren
Basisfirewall auf dieser Schnittstelle aktivieren.
Zum Vergrößern anklicken....

bleiben noch fragen offen:

Wie bzw Wo geht das:
Ferner ist nicht zu vergessen, dem DC mitzuteilen wo er den Traffic hinrouten soll, nämlich auf die eben eingerichtete Schnittstelle.
Zum Vergrößern anklicken....

und welche Gateway soll ich dan bei meinen CLienten einstellen ?
......180 oder .......104 ?

MfG Danke für die genaue anleitung
 
Hallo Killer 3d

Also ich nehme mal an, Du hast folgende Konfiguration:


LAN--> NIC01(LAN Schnittstelle)-->Server-->NIC02-->(WAN Schnittstelle)Router-->Inet

Alles läuft im Sub-Netz 192.168.66.0 und der Server routet alle Anfragen vom LAN via NIC02 über den Router ins Inet.
Welcher NIC resp. welche IP Adresse routet den Traffic zum Router?

Wie auch immer, diejenige Schnittstelle welche zum Router verweist (WAN Schnittstelle), ist bei beim DC unter "Netzwerk Eigenschaften" (LAN Schnittstelle), als Standard Gateway einzutragen, damit weiss der Server wohin er Anfragen weiterleiten muss. Bei den Clients kann auf Wunsch die IP des Servers angegeben werden, der Server routet dann alle Anfragen weiter, oder aber ein direktes Routing würde die Eingabe der IP der WAN Schnittstelle benötigen.

Nun zu Deinen Fragen:

Hast Du unter "Serververwaltung" den VPN/ RAS Server installiert? Hast Du folgendes Fenster bei Dir im Server?

Falls ja, sieht das bei mir so aus:




Zur Erklärung, die Schnittstelle HSP-NET_WAN routet die Anfragen vom LAN/ Server über den Router ins Inet.

Unter NAT/Basisfirewall musst Du zuerst über Aktion-->"Neue Schnittstelle definieren" auswählen. Dann in der Auswahl diejenige Schnittstelle wählen, welche zum Router verweist.

Mit rechtem Maustastenklick auf das Schnittstellensymbol und es öffnet das Fenster im Vordergrund.

Falls Du alles in einem Subnetz halten willst, musst Du den Punkt "NAT auf dieser Schnittstelle aktivieren" nicht wählen! Nur den Basisfirewall aktivieren.


Greetz MAC_Ferrari
 
Also ich wage mal zu behaupten, das das so recht wenig Sinn macht, sprich wenn der Hardwarerouter, die Clients und dein DC im gleichen Netz sind.

Ich an deiner Stelle würde ich den Hardwarerouter und die "WAN" NIC des DC wenigstens in ein Netz nehmen und die zweite NIC des DC und die Clients in ein anderes Netz nehmen.
Somit umgehst du nämlich das Risiko das sich die Clients am Server vorbei ins Inet verbinden...

Und wie schon gesagt, schau dir mal IPCop an, das ist ne Einrichtungssache von 2-3h max. auch als Linux Leihe. Deutsche Anleitungen gibts auch für Leute mit keinen englisch Kentnissen...
 
Hm, ja klar wäre es besser wenn die WAN Schnittstelle mit dem Router in einem seperaten Subnetz wäre!
Ich habe das bei mir ja auch so gemacht. Nur bevor Killer3d das noch machen möchte, wäre ja interessant ob er den VPN/ RAS Server zum laufen gebracht hat.


Greetz MAC_Ferrari
 
ich bin heute bzw grade nicht zuhause ich bin denke mal morgen um 14:00 zuhause ich hoffe das ich das hinbekomme aber ich melde mich dan wieder
 
Anmelden, um zu antworten.

Ähnliche Themen

fray
[Gelöst] !Box 7590: Manche WLAN Geräte kein Internet - falscher DNS Server ?
Antworten
1
Aufrufe
225
fray
fray
J
OpenVPN Client auf Debian: Network is unreachable bei Verbindungsaufbau
Antworten
0
Aufrufe
181
justinh999
J
S
Problem + Lösung: Teamspeak3 Server - keine Verbindung von außen
Antworten
0
Aufrufe
268
Sky7677
S
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh