|
|
|
 Netzwerk |
|
Die Netzwerkkarten werden i.d.R. von Redhat/Fedora bei der Installation automatisch erkannt. Der Austausch der Hardware wird von Meldungen des kudzu quittiert, sofern dieser beim Systemstart ausgeführt wird. Bestehende Konfigurationen werden dabei auf die neue Hardware migriert.
Der Verweis der Netzwerkkarten auf das Kernelmodul findet sich in /etc/modules.conf bzw. modprobe.conf.
Die Netzwerkkarten-Konfiguration selbst findes sich in /etc/sysconfig/network-scripts/ifcfg-ethX, wobei X für die Nummer der Karte steht, angefangen bei 0.
Will man sicherstellen, dass die Bezeichnung nicht durcheinander gerät, wenn Karten den Slot wechseln, sollte man in der ifcfg-ethX den Parameter HWADDRESS verwenden. Hier wird die Mac-Adresse eingetragen so bleibt die eth0 immer die Karte mit der definierten Mac-Adresse.
Für höheren Datendurchsatz oder Redundanz in der Netzwerkanbindung eines Servers empfiehlt sich ggf. die Netzwerkkarten zu einem Strang (Trunk) zusammenzu"binden". man spricht hier vom bonding.
Für das bonding von Karten ist das gleichnamige Kernelmodul vorgesehen, dass unter FC4 bereits zum Installationsumfang gehört.
Nähere Informationen finden sich unter http://mesh.dl.sourceforge.net/sourceforge/bonding/bonding.txt
|
|
|
|
| |
| analog |
|
Eine einfache Art der Konfiguration für ein anloges Kommunikationsgerät bietet auch hier der oben genannte webmin.
Streng genommen ist die Schnittstelle i.d.R. nicht das Modem selbst sondern die serielle Schnittstelle an der das Modem angeschlossen ist oder die es emuliert (nachmacht). Diese wird mit /dev/ttySx angesprochen. Dabei steht das x für die Nummer der Schnittstelle. ttyS0 entspricht dabei com1, ttyS1 der Schnittstelle com2 in der WinDOS-Welt.
Unter Networking/ppp Dialup Client im webmin kann eine Interneteinwahl konfiguriert werden.
Mit Hardware/Voicemailserver ein einfacher Anrufbeantworter.
P.S.: Eigentlich muss DAS Modem ja DER Modem heissen, weil Modem ein zusammengesetztes Kunstwort aus den Begriffen MOdulator/DEModulator ist.
|
|
|
| ISDN |
|
Zur Bewältigung von Missverständnissen und Problemen hat Herbert U. Hübner aus Bremen persönlich und mit seiner Homepage http://mungo.homelinux.org
erheblich beigetragen. An dieser Stelle vielen Dank für den Support!
Bei der Betrachtung von Kommunikationsdiensten ist eine Unterscheidung zwischen "Einwahl ins Internet" (ISDN4Linux) und "Fax/Anrufbeantworter" (CAPI4Linux) sinnvoll.
Wir beschränken uns hier auf ISDN-Karten der Firma AVM http://www.avm.de
und Redhat Linux http://www.redhat.de.
Dabei gilt: Deinstallieren Sie zuerst alle etwa vorhandenen Teile des ISDN-Subsystems! Sie dürfen sich an dieser Stelle auf die erhebliche Vorarbeit von Herrn Hübner verlassen.
<b>Vorarbeiten</b>
Schalten Sie die automatische Hardwareerkennung kudzu aus. Sie überschreibt bei neueren ISDN-Karten die Konfiguration bei jedem Start des Rechners.
/sbin/chkconfig --del kudzu
Stoppen des ISDN-Subsystem mit /etc/init.d/isdn stop
Enfernen der vorhanden ISDN-Programmpakete mit
rpm -e isdn4k-utils-vboxgetty isdn4k-utils-devel redhat-network-config isdn4k-utils
<b>ISDN4Linux</b>
Herunterladen des kernel-Paket für die entsprechende Karte und der Dateien isdn4k-utils von
http://mungo.homelinux.org
aus dem Menü RedHat > Zusammenstellung.
Installation mit rpm -ivh
Starten des ISDN-Subsystems mit /etc/init.d/isdn start
Prüfen der Module mit lsmod
ungeprüft:
Hierbei wird dem System ein neues Netzwerk Device namens ippp0 hinzugefügt und der Karten-Treiber geladen. Außerdem wird der ISDN Daemon ipppd mit den eingestellten Optionen gestartet und die Defaultroute auf das ISDN Device gesetzt, wodurch jeglicher nichtlokale Netzverkehr an das ISDN Device geleitet wird.
Die Karte ist jetzt also wie eine Netzwerkkarte zu verstehen und ebenso zu behandeln.
|
|
|
|
| Asymmetric DSL |
|
Bei der Nutzung von Linux als Einzelplatzrechner gibt es selbstverständlich auch grafische Konfigurationstools für Gnome oder KDE.
Ist (auf dem Server) der webmin installiert, lässt sich ein ADSL-Zugang über Networking/ADSL Client einrichten. Allerdings sollte auf einem dedizierten Router bzw. einer Firewall kein Dienst laufen (oder installiert sein), der nicht wirklich benötigt wird.
Um einen Rechner, wie eine Firewall, auch bei vorhandenem ADSL mit dynamischer IP-Adresse über das WAN ansprechen zu können, kann man mit Hilfe von Diensten wie www.dynDNS.org
Aliasnamen vergeben und ein entsprechendes Client-Tool auf der Zielmaschine installieren.
Die Einrichtung der weit verbreiteten ISDN- und DSL-Karten von AVM beschreibt der Artikel unter www.christoph-wickert.de/2005/08/29/avm-fritzcards-und-fedora-core-4
ausgezeichnet.
Die Beschreibung lässt sich auf die Fritzcard PCI für ISDN ebenso anwenden wie auf die DSL/SL (fcdslsl = nur DSL) aber auch für die beiden Karten der DSL-Varianten Ver.1 (zwei getrennte Stecker für ISDN und DSL, normale Patchleitungen) und Ver.2 (nur 1 Stecker mit AVM-proprietären Y-Kabel)
Beim Einsatz eines externen DSL-"Modem" ist die Konfiguration zugegebenermassen einfacher. Allerdings "fliegt" eine weitere Büchse im Raum herum und man benötigt mehr Platz auf der Steckdosenleiste.
Die Zugangsdaten für den Internetzugang werden bequem über das Script adsl-setup eingegeben.
[1.0]
|
|
|
|
| Wireless LAN |
|
Ergänzend zu den vorgenannten Funktionalitäten lässt sich eine Linux-Box auch zu einem Access-Point in einem WLAN aufbauen. Von entscheidender Bedeutung ist die Auswahl der Karte für PC oder Notebook. Die Treiber-Unterstützung ist bisher noch nicht so sehr gut. Im Wesentlichen werden vier unterschiedliche Wege beschritten:
<b>1.) Linuxant Driverloader</b>
Hierbei handelt es sich um ein kommerzielles Produkt, das auch für z.B. sog. Winmodems Anwendung findet. Die Firma Linuxant hat eine Lösung entwickelt, mit der sich Windows-Treiber unter Linux laden lassen http://www.linuxant.com
<b>2.) NDIS-Wrapper</b>
Auch bei diesem Projekt geht es darum, ein Kernel-Modul zu entwickeln, das Treiber der windows network driver API (NDIS) laden kann, wenn keine Treiber für Linux seitens des Herstellers zur Verfügung stehen. Es handelt sich hier um freie Software. http://ndiswrapper.sourceforge.net
<b>3.) Prism54-Kompatibilität</b>
Für Karten mit Prism GT oder Prism Duette (ISL3890 Chipset) bzw. Prism Indigo (ISL3877 chipset) bietet sich der Linux Treiber von http://www.prism54.org
an. Für RedHat/Fedora findet sich unter http://dag.wieers.com/packages/kernel-module-prism54
ein rpm-Paket von Dag Wieers für die problemlose Installation des Treibers.
Am Beispiel einer Netgear WG511 PCMCIA-Karte erläutert http://mysite.verizon.net/winterz/doc/prism54.txt
die eigentliche Konfiguration. Der Teil des Kompilierens darf hierbei getrost übersprungen werden. Wichtig ist der Hinweis, dass für die Karte eine Firmware-Datei (.arm) zur Verfügung stehen muss, die vom Hersteller geliefert wird und sich im Paket mit den Windows-Treibern "verstecken" kann.
Im vorliegenden Fall wurde die Datei c:\programme
etgear\wg511\driver\WG511DCB.arm nach /usr/lib/hotplug/firmware kopiert. Anschliessend wurde ein Symlink isl3890 auf die Datei gesetzt.
Für die Aktivierung von PCMCIA benötigt man die Module pcmcia_core yenta_socket und ds. Dabei lädt ds automatisch die Module firmware_class und prism54.
<b>4.) Atheros Chipset</b>
Für die Unterstützung von Karten mit bis zu 108Mbps auf der Basis des Atheros Chipsatzes wird derzeit ein Treiber aus FreeBSD portiert. http://sourceforge.net/projects/madwifi
Dag Wieers hat auch hierfür bereits erste rpms zur Verfügung gestellt: http://dag.wieers.com/packages/kernel-module-madwifi
<b>Grundlagen zum Thema</b>
finden sich im WIKI der UNI Konstanz
http://wiki.uni-konstanz.de/wiki/bin/view/Wireless/WirelessLAN
|
|
|
|
| Routing |
|
Für das Aufsetzen eines Routers verwenden wir einen Rechner mit RedHat und drei "Netzwerkkarten" für LAN, WAN und DMZ. Im Fall einer ISDN-Einwahl handelt es sich bei der WAN-Karte um einen ISDN-Controller, für xDSL um eine Ethernet-Netzwerkkarte.
Einrichtung der Interfaces in /etc/sysconfig/network-scripts/ifcfg-ethx bzw. ifcfg ppp0 oder ippp0
Anpassung der Datei /etc/sysconfig/network
Hier wird bei Verwendung des Rechners als Router NUR der Hostname eingetragen. Das default Gateway ist bei dial-on-demand nämlich unbekannt bzw. wird erst nach der Einwahl durch den ISP vergeben.
Überprüfung der Einstellung für das routing in der Datei /etc/sysctl.conf (net.ipv4.ip_forward=1)
Überprüfung des Routings (zur Sicherheit) mit cat /proc/sys/net/ipv4/ip_forward
Restart des Rechners
Prüfen der Interfaces mit ifconfig
Prüfen der Routing-Tabelle mit route -n
Prüfen mit ping auf die lokalen Interfaces
ping vom router in LAN, WAN, DMZ
ping aus der DMZ in LAN und WAN
ping aus dem LAN in DMZ und WAN
ping aus dem WAN in DMZ und LAN
Ein sehr übersichtliches Tool für die Konfiguration eines ISDN-Routers, das auch ohne X auskommt findet sich unter http://www.linux-als-server.de/html/server-config-isdnrouter.php
<b>fli4l (floppy isdn for linux)</b>
geht einen ganz anderen Weg. Diese kleine, aber etwas propietäre Firewall benötigt im Wesentlichen nur eine Bootdiskette, die auch am Windows-Client konfiguriert werden kann. Mit dieser Diskette wird der Router incl. Firewall gestartet, danach kann die Diskette entfernt werden.
fli4l erlaubt auch den Einsatz einer Festplatte oder das Starten des Rechners von einer erstellten CDROM und berücksichtigt selbstverständlich auch DSL-Verbindungen.
http://sourceforge.net/projects/fli4l
<b>Linksys Router</b>
Die WRT5xG-Router der Firma Linksys haben den Vorteil, dass dei eingesetzte Software vom Hersteller als Open-Source veröffentlicht wurde. Damit sind die Modelle in der Linux-community recht beliebt. Es wurde eine ganze Reihe alternativer Lösungen aufgebaut www.linksys.de
[1.0]
|
|
|
|
| Firewall |
|
Auf der Basis einer Minimalinstallation
Mit einer Standard-Distribution wie Debian und installiertem iptables lässt sich eine firewall einrichten.
Die Regeln von iptable sind sicher nicht jedermanns Sache. Eine einzelne (lokale) Netzwerkadresse lässt sich mit der folgenden Regel vom Netzwerkverkehr vollständig aussperren:
iptables -I INPUT -s 192.168.1.123 -j DROP
iptables -D INPUT -s 192.168.1.123 -j DROP
hebt diese Sperre wieder auf. Dabei steht -I für insert und -D für delete. Anstelle von DROP kann auch REJECT verwendet werden.
Wünscht man, nur die Weiterleitung zu sperren, um damit z.B. die Nutzung des Internet zu verhindern, die Nutzung der lokalen Netzwrekressourcen jedoch zuzulassen, kommt nstelle der Chain INPUT die Chain FORWARD zum tragen.
<b> Shorewall - iptables made easy</b>
Für den anspruchsvolleren Einsatz, z.B. das Zuweisen öffentlicher IP-Adressen auf interne IP-Adressen und feinere, d.h. sicherere Einstellungen ist das Script-Paket Shorewall sehr zu empfehlen.
Die Dokumentation ist ausgezeichnet und für jemanden, der sich ein wenig mit den Grundlagen auskennt sehr übersichtlich.
http://shorewall.sourceforge.net
Übrigens: Die dem System bekannten Portnummern für TCP und UDP finden sich in der Datei /etc/services.
<b>MSS Clamping</b>
Dieser Effekt äussert sich z.B. bei einer Linux-Box mit Fritz!card DSL SL als Router/Firewall: Die Box selbst erreicht alle Webseiten, vom Client sind manche Seiten nicht erreichbar. Der Effekt ist aufgetreten bei www.epost.de,
www.otto.de,
www.berliner-sparkasse.de
und anderen.
Eine Erklärung des Phänomens findet sich hier: http://www.netheaven.com/pmtu.html
Ein Auszug aus der Datei /etc/shorewall/shorewall.conf:
# MSS CLAMPING
#
# Set this variable to "Yes" or "yes" if you want the TCP "Clamp MSS to PMTU"
# option. This option is most commonly required when your internet
# interface is some variant of PPP (PPTP or PPPoE). Your kernel must
# have CONFIG_IP_NF_TARGET_TCPMSS set.
#
# [From the kernel help:
#
# This option adds a `TCPMSS' target, which allows you to alter the
# MSS value of TCP SYN packets, to control the maximum size for that
# connection (usually limiting it to your outgoing interface's MTU
# minus 40).
#
# This is used to overcome criminally braindead ISPs or servers which
# block ICMP Fragmentation Needed packets. The symptoms of this
# problem are that everything works fine from your Linux
# firewall/router, but machines behind it can never exchange large
# packets:
# 1) Web browsers connect, then hang with no data received.
# 2) Small mail works fine, but large emails hang.
# 3) ssh works fine, but scp hangs after initial handshaking.
# ]
#
# If left blank, or set to "No" or "no", the option is not enabled.
#
CLAMPMSS=No
|
|
|
|
| OpenVPN |
|
OpenVPN hat als Lösung zum Aufbau virtueller privater Netze mindestens zwei entscheidende Vorteile gegenüber anderen:
1.) Clients sind für die wichtigsten Plattformen Windows, Mac, Linux verfügbar
2.) Es wird nur ein einzelner UDP-Port (1194) zum Server bzw. zur Firewall benötigt.
Darüber hinaus handelt es sich um Open Source Software.
Die Einrichtung erfolgt mehr oder weniger gleichartig. Benötigt werden 2 bzw. 4 Dateien.
1.) das Zertifikat der Certification Authority
2.) Das Zertifikat des Benutzers
3.) Der Schlüssel des Benutzers
4.) Die Konfigurationsdatei der Verbindung
Je nach Servertyp wird die Konfigurationsdatei
* als .conf und die 3 Zertifikate als .pem Datei bereitgestellt
* oder aber die Konfigurationsdatei kommt als .ovpn und die Zertifikate sind in einer .p12-Datei zusammengefasst.
Je nach Client ist die Einrichtung der Verbindung mehr oder weniger simpel:
* Kopieren der Dateien in den lokalen Konfigurationsordner.
* Importieren der Verbindungsdaten und Zertifikate über das GUI
Die .pem Dateien kann man aus der .p12 wie folgt extrahieren:
Zertifikat der Zertifizierungsstelle:
openssl pkcs12 -in bundle.p12 -out connection-ca.pem
Zertifikat des Benutzers:
openssl pkcs12 -in bundle.p12 -out connection-client.crt -clcerts -nokeys
Privater Schlüssel:
openssl pkcs12 -in bundle.p12 -out connection.key -nocerts
Die konkrete Vorgehensweise ist der jeweiligen Client-Software zu entnehmen.
www.openvpn.net
|
|
|
|
|
