HowTo's zu SuSE 8.0

#1 - Quelle dieses Linux Tutorital » webmasterpro.de -

SuSE 8.0 als Linux Router - Firewall - DNS -Server


Los gehts!

Als erstes installieren wir einmal SuSE 8.0 in mit der Minimalkonfiguration, allerdings geben wir bei "Erweiterte Optionen"
noch die punkte Netzwerk/Server und Webserver an!
Zusätzlich installieren wir noch den ROARING PINGUN PPP TREIBER
einfach bei der Einzelpaketauswahl auf suchen und dann PPP eingeben!
Ihr werdet schon erkennen welchen ich mein genau den rp-pppoe !

So weitergehts!

NAchdem wir unser SuSE am laufen haben gehts an die Netzwek konfiguration

Diese tätigen wir wie folgt!

Code

yast

Die Netzwerk karte an der dsl hängt ( ich schlage vor ihr hängt euer modem an eth0) bekommt die IP 192.168.1.1

Die Netzwerkkarte die zum HUB o.ä. geht ( ich nehem hierfür eth1)
bekommt die IP 192.168.0.1

Beide die subnetmask 255.255.255.0

Yast beenden!





Nun geben wir in der Shell folgendes ein

Code

adsl-setup 

Danach sollte ein dialog starten

als netzwerk device eth0 angeben

bei dial on demand yes

idle time auf 0 für uendlich

dann benutzername

bsp : 000785465520023545876513#0001@t-online.de

dann euer kennwort

nochmal kennwort

so das sollte es schon gewesen sein

jezt solltet ihr mal einen PING ausführen

bsp .: Ping www.protecus.de

klappt? na wunderbar!

wenns klappt gehts weiter:



Yast wieder aufrufen

Code

yast

Im Runlevel Editor aktivieren wir , dass adsl schon beim start in runlevel 5 gestartet wird.
Ist dies geschehen machen wir uns and die Firewall

Dazu starten wir in Yast die SuSE Firewall konfiguration

als device nach draussen stellen wir hier ppp0 ein
und als device nach innen eth1

danach müsst ihr selbst entscheiden welche dienste auf eurem server ereichbar sein sollen

am schluss müsst ihr

Tracerrout und Masquerading aktivieren

die andern zwei punkte deaktivieren!







So nun zum Finale der DNS Server!

saugt euch die dateien und fügt sie einfach in die entsprechenden verzeichnisse ein!

die named.conf kommt ins /etc/ Verzeichnis

alle anderen in /var/named/

Download

natürlich müsst ihr sie noch anpassen --> schaut euch einfach mein DNS TUT an!!!!

(erwartet nicht dass ich alles bis aufs kleinste erklär ihr sollt ja nochwas lernen ;-) )

Sodala nun noch ganz zum schluss die klienten konfiguration (also die rechner die über den router ins internet gehn!

TCP/IP-Protokoll einstellen
Wenn das TCP/IP-Protokoll installiert ist, unter Systemeinstellungen, Netzwerk, Protokolle das TCP/IP-Protokoll anwählen und mit "Eigenschaften" folgende Dinge einstellen:

IP-Adresse: Dies ist die eigene Adresse des jeweiligen Rechnerns (jede Adresse darf nur einmal vergeben werden!)
typisch: 192.168.0.x

Subnet Mask: Die Netzmaske für das Netz, an dem der Rechner angeschlossen ist
typisch: 255.255.255.0

Gateway: Die Adresse der Firewall im angeschlossenen Netz
typisch: 192.168.0.1

DNS-Konfiguration: Rechnername, Domain, Adresse des Nameservers (DNS)
typisch: name, name.home, 192.168.0.1

WINS: wird hier nicht benötigt, also deaktivieren
DHCP: wird hier nicht benötigt, also deaktivieren


So das wars ich hab mit absicht net alles ganz ausführlich geschriebn
denn ein bissel spielen sollt ihr ja schließlich auch!

Da es nie ein 08/15 Lösung gibt hoff ich mal dass alles geklappt hat ;-)
__________
Never touch a running SysOp

#2 - Quelle dieses Linux Tutorital » webmasterpro.de -

Nie wieder Low ID mit emule/edonkey!

Damit ihr ab sofort auch in den genuss einer High ID kommt, oder euer Games und andere Programme die direktes ungefiltertes ROUTING benötigen richtig laufen hier die Einstellung der SuSEfirewall.

Unter Punkt 6.) der /etc/sysconfig/SuSEfirewall2

muss folgendes stehen

Code

FW_MASQ_NETS="192.168.0.0/24" 

die IP kann bei euch natärlich anderst sein aber ich gehe einfach mal davon aus dass ihr dieses Private IPNetz nutzt


Unter Punkt 10.) folg dann folgendes:

Code

# Common: smtp domain 
FW_SERVICES_EXT_TCP="22 80 4661" 
# Common: domain 
FW_SERVICES_EXT_UDP="4665" # Common: domain 
# For VPN/Routing which END at the firewall!! 
FW_SERVICES_EXT_IP="" 
# 
# Common: smtp domain 
FW_SERVICES_DMZ_TCP="22 80 4661" 
# Common: domain 
FW_SERVICES_DMZ_UDP="4665" 
# For VPN/Routing which END at the firewall!! 
FW_SERVICES_DMZ_IP="" 
# 
# Common: ssh smtp domain 
FW_SERVICES_INT_TCP="22 80 3128 4661" 
# Common: domain syslog 
FW_SERVICES_INT_UDP="4665" 
# For VPN/Routing which END at the firewall!! 
FW_SERVICES_INT_IP="" 

ihr könnt natürlcih nochmehr ports eintragen.

Um ALLE ports freizugeben müsst ihr 1:65535 eingeben

Bsp.: FW_SERVICES_EXT_TCP="1:65535"

ACHTUNG WENN IHR ALLE PORTS AUFMACHT SEID IHR ANGREIFBAR

Also überlegt euch vorher welche ihr öffnet!!!!!



Unter Punkt 11.)

Code

FW_ALLOW_INCOMING_HIGHPORTS_TCP="yes" 
# Common: "DNS" or "domain ntp", better is "yes" to be sure ... 
FW_ALLOW_INCOMING_HIGHPORTS_UDP="yes" 

Und nun das wichtigste PUNKT 14

Code

# HIER WERDEN DIE PORT-WEITERLEITUNGEN EINGETRAGEN! 
# SCHEMA: 
# 0/0 bedeutet ALLE IP-Adressen (von außen) 
# 192.168.0.2 als Empfänger IP kann natürlich geändert werden. 
# dann das Protokoll (tcp/udp/icmp) 
# dann der (oder die) Port(s). Eine Reihe Ports "von 1000 bis 1100" schreibt sich "1000:1100" 
# Nochmal die Reihenfolge: 
# IP-Bereich der von außen zugreift (meist alle), IP-Adresse zu der weitergeleitet wird, Protokoll, Port 
# 
FW_FORWARD_MASQ="0/0,192.168.0.2,tcp,4662 0/0,192.168.0.2,udp,7777:7781 0/0,192.168.0.1,tcp,4652" 

Auch hier gilt an eigene Gegbenheiten anpassen.
__________
Never touch a running SysOp

#3 - Quelle dieses Linux Tutorital » webmasterpro.de -

Netzwerk Tuning für DSL und LAN

Zuerst machen wir uns ein neues Verzeichnis (z.B.: tuning)

Code

>mkdir tuning 

Danach erstellen wir im verzeichnis tuning eine neue Textdatei

Code

> cd /tuning > wechselt das Verzeichnis 
> edit >öffnet den Editor 

Einfg drücken um den Bearbeitungsmodus zu aktivieren


Weiter gehts....

dort geben wir ein:

Code

echo 1 > /proc/sys/net/ipv4/tcp_timestamps 
echo 1 > /proc/sys/net/ipv4/tcp_window_scaling 
echo 1 > /proc/sys/net/ipv4/tcp_sack 

Dies aktiviert die "Advanced TCP Functions"

Danach folgt das sogenannte "TCP Window Tuning"
Einfache vorstellung : Durch ein grosses Fenster Passt auch mehr ;-)

Code

echo 8388608 > /proc/sys/net/core/wmem_max 
echo 8388608 > /proc/sys/net/core/rmem_max 
echo "4096 87380 4194304" > /proc/sys/net/ipv4/tcp_rmem 
echo "4096 65536 4194304" > /proc/sys/net/ipv4/tcp_wmem 

jetzt drücken wir STRG+C um den Bearbeitungs modus zu verlassen....

danach SHIFT+Q
und

EXIT eingeben

jetzt sollte in der Sehell etwa so etwas erscheinen

Code

23587239 bytes written 

dann geben wir noch einen chmod auf die Datei

Code

 chmod 777 dateiname 

so das wärs

jetzt führt ihr die Datei aus....

Code

> ./dateiname 

oder ihr tragt einen Cronjob o.Ä ein damit sie immer beim start ausegführt wird....

HIER für alle das Script zum Download

Achtung mit rechter Maustaste und "speichern unter" downloaden...

Sollte Windoof eine Endung wie zb .TXT dranhängen kopiert die datei auf euren Linux Rechner entfernt diese und vergesst den chmod 777 nicht...

Dann verfahrt wie oben und führt das script aus
__________
Never touch a running SysOp

#4 - Quelle dieses Linux Tutorital » webmasterpro.de -

DNS-Server-einrichten

Unsern DNS Server konfigrurieren wir so das wir ihn als MASTER DNS Server einstellen.

Die Einstellung MASTER DNS heist nichts anderes als das unser DNS eine Direkte Verbindung mit einem ROOT DNS auf nehmen soll. Man kann auch einen SLAVE DNS aus ihm machen, dann haben wir aber wieder den Nachteil das unser DNS erst eine Verbindung zu einem MASTER DNS aufnimmt, und wir wollen ja ZEIT Sparen.



Dies hier ist die "/etc/named.boot"

Code

cache . 
named.ca 


; Lokale Domain ver-plant.net 

primary ver-plant.net named.ver-plant.net 

; Reverse Domain 
primary 1.168.192.in-addr.arpa named.rev 

In der named.boot wird festgelegt für welche Domain der DNS zuständig ist, und wo er die Reverse domains findet.



Dies Hier ist die "/etc/named.conf"

Code

/* sample configuration file for BIND 8.1 or later 
* should be installed as /etc/named.conf 
*/ 

# 
# overall options of the server 
# 
options { 
directory "/var/named"; 
// query-source address * port 53; }; 

# the default is to fail, if the master file is not correct 
check-names master warn; 


pid-file "/var/run/named.pid"; 

datasize default; 
stacksize default; 
coresize default; 
files unlimited; 
recursion yes; 

multiple-cnames yes; // if yes, then a name my have more 
// than one CNAME RR. This use 
// is non-standard and is not 
// recommended, but it is available 
// because previous releases supported 
// it and it was used by large sites 
// for load balancing. 

# the default is to ask the forwarders and if they fail 
# try to find the answer yourself, this will only ask the forwarders 
#forward only; 
# list of DNS servers to ask 
#forward only; 
#forwarders { 
# 192.168.1.2; 
# 62.104.196.134; 
#}; 
# the default is to listen on port 53 on all available interfaces 
# you can also give a detailed list: 
#listen-on { 5.6.7.8; }; 
#listen-on port 1234 { !1.2.3.4; 1.2/16; }; 
}; 

# 
# do not be verbose about these problems... 
# 
logging { 
category lame-servers { 
default_syslog; 
null; 
}; 
category response-checks { 
default_syslog; 
null; 
}; 
category default { 
}; 
}; 
# 
# predefined access control lists (acl): 
# "any" allows all hosts 
# "none" denies all hosts 
# "localhost" allows the IP adresses of all interfaces of the system 
# "localnets" allows any host on a network of the local interfaces 
# 
# defining an additional ACL: 
#acl can_download { 192.168.0.17; 192.168.0.18; }; 


# 
# The server statement defines the characteristics to be associated with 
# a remote name server. 
# 
# Marking a server as bogus will prevent queries to that server. 
#server 192.168.0.128 { bogus yes; } 
# If the other name server has also BIND 8.1 or newer installed, you 
# can allow compacter zone transfers with this statement. 
#server 192.168.0.128 { transfer-format many-answers; } 

zone "." IN { 
type hint; 
file "root.hint"; 
}; 

zone "1.168.192.in-addr.arpa" IN { 
type master; 
file "named.rev"; 
}; 


zone "ver-plant.net" { 
type master; 
file "ver-plant.net"; 
}; 

Hier in der named.conf wird festgelegt wie der DNS Server sich verhalten soll.

Es lässt sich z.b. Einstellen ob er alle Anfragen weitergeben soll (Slave), oder nicht (Master).

Auch kann hier man Einstellen auf welchen Port er läuft, Standart 53.

Und man kann hier auch Einstellen für welche DomainŽs er zu ständig ist. Das ist für Netzwerke geeignet die mehr als einen DNS haben. Es können also DNS Server nur für .com .de .net .org u.s.w Betrieben werden.



Jetzt kommen wir zu einer Datei die dem DNS erst seine Arbeit ermöglicht.

Und zwar die "/var/named/zonen_datei" bei mir heisst diese ver-plant.net

Code

@ IN SOA gateway.ver-plant.net. root.gateway.ver-plant.net. ( 
170319742000 
10800 
3600 
3600000 
86400 ) 
@ IN NS gateway.ver-plant.net. # Der Domainname des DNS 
IN MX 0 gateway.ver-plant.net. # Der Mailexchange 
gateway IN A 192.168.1.2 
FTP IN CNAME 192.168.1.2 
www IN CNAME gateway 
PeRpLeXeR IN A 192.168.1.11 

In dieser Datei stehen alle Namen mit IP Adressen, das heisst das hier der DNS die Server/Clienten eindeutig Identifiezieren kann. Man kann also auch das Gateway mit gateway, oder mit www ansprechen.

Das heisst also man kann alle wichtigen Verbindungen Intern direkt Eintragen. Also wenn man ein Netz hat wo es mehr als einen Server/Client gibt.

Beispiel:

Das Gateway hat die IP 192.168.1.2 dann sieht der Eintrag für das Gateway so aus:

Code

gateway IN A 192.168.1.2 

Will man das Gateway auch als www.meine-domain.de ansprechen das sieht der Eintrag so aus:

Code

www IN A 192.168.1.2 

Wie ihr an diesen zwei Beispielen seht ist es völlig egal wie der Server heißt. Jedoch kann man nicht alle Bezeichnungen verwenden. Ausgenommen sind alle Protokollnamen.
__________
Never touch a running SysOp

#5 Unter TuningLink

ist noch folgende einfachere Moeglichkeit angegeben die Werte zu setzen:

(Allerdings bei tcp_xmem 1/2 Werte und noch zusaetzlich tcp_mem. Wie der gesetzt werden muss bei DSL weiss ich nicht. )

Add the following to /etc/sysctl.conf, and then run "sysctl -p"

# increase Linux TCP buffer limits
net.core.rmem_max = 8388608
net.core.wmem_max = 8388608
net.core.rmem_default = 65536
net.core.wmem_default = 65536

# increase Linux autotuning TCP buffer limits
net.ipv4.tcp_rmem = 4096 87380 4194304
net.ipv4.tcp_wmem = 4096 65536 4194304
#net.ipv4.tcp_mem = 8388608 8388608 8388608
__________
"Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Benedict Torvalds

#6 Neue Erkenntnisse zu
Nie wieder Low ID mit emule/edonkey!

es reicht auch aus nur Punkt 6.) und 14.) zu editieren
__________
Never touch a running SysOp

#7 Coool

großes Dankeschön @Josh16 für Deine Arbeit, werde mich mal einarbeiten!

Grüße Isnogod

#8 SO mein lieber Josh16.
Ich bin zwar wirklich kein geltungssüchtiger Mensch....
Jedoch sehe ich es nicht ein dass du einfach MEINE Tutorials hier 1 zu 1 kopierst und damit rühmst!!!!!!
für alle die nicht wissen worum es geht:

http://www.webmasterpro.de schaut euch die Linux tutorials von mir an!!!!!!

Ich denke es ist eine rechtfertigung von Dir fällig, denn ich kann meine Diplomarbeit auch nicht so logger 1 zu 1 aus dem Internet ziehen!!!!!


Greets

PeRpLeXeR

#9 Hi PeRpLeXeR,

grrr, sorry, sowas ist wirklich verflucht ärgerlich und ich kenne dasselbe auch von meiner Website!

Ich habe erstmal jeden Post editiert und oben in Rot die Quellenangabe hinzugefügt!!

ich schreib Dir noch eine Email!
__________
Gruß Lukas

#10 Quelle Josh16
Win2k VPN Server (hinter) SuSEfirewall2 (PPTP)

Um einen VPN-Server hinter der SuSEfirewall zu betreiben muss der Port 1723 und das Protokoll 47 (GRE) durchgeroutet werden. In der Firewall Konfiguration werden folgende Einstellungen benötigt:

Punkt 9.)

Code

FW_SERVICES_EXT_TCP="1723"
# Common: domain
FW_SERVICES_EXT_UDP=""
# Common: domain
# For VPN/Routing which END at the firewall!!
FW_SERVICES_EXT_IP="47"

anschließend dieses kleine Tool auf die Firewall kopieren und mit entsprechenden Parametern starten.

http://www.mgix.com/pptpproxy/

Beispiel für den Befehl bei VPN Server (10.1.1.60) hinter SuSEfirewall:

Code

pptpproxy -p 10.1.1.60 -a 255.255.255.255/0.0.0.0

PS: in der man page von pptpproxy finden sich noch andere anwendungsmöglichkeiten
__________
Never touch a running SysOp

#11 Super, das geht auch ! Die leute können dann auf meinem VPN Server 5.25 (Win2003) zugreifen, aber die anderen Rechner im LAN (5.3 und 5.4) können keine VPN Verbindung zu anderen VPN Servern im Internet aufbauen. (Fehler 721) Es kommt noch zur Benutzerauthentifizierung aber dann keine Antwort mehr. Ich vermute mal, ich habe das Natting falsch eingestellt. Ich arbeite mit Suse 8.2 und iptables.

Mein Proxyaufruf:

pptpproxy -p 192.168.5.25 -a 255.255.255.255.0/0.0.0.0

Hier die Regeln

iptables -t -nat -A PREROUTING -p tcp -i ppp0 dport 1723 -j DNAT --to 192.168.5.25

iptables -t -nat -A PREROUTING -p udp -i ppp0 dport 1723 -j DNAT --to 192.168.5.25

iptables -t -nat -A PREROUTING -i ppp0 -p 47 -j DNAT --to 192.168.5.25

Danke im Voraus