Radio Helsinki Technik Wiki|
Größe: 3964
Kommentar:
|
← Revision 10 vom 2016-10-05 11:31:28 ⇥
Größe: 2906
Kommentar:
|
| Gelöschter Text ist auf diese Art markiert. | Hinzugefügter Text ist auf diese Art markiert. |
| Zeile 6: | Zeile 6: |
| = Gateway = | = Router = |
| Zeile 10: | Zeile 10: |
| * Alix 2c2 mit 4Gb CF Karte * Debian Lenny mit einigen Modifikation um auf einem Read-Only Rootfilesystem zu laufen. * je eines der 3 Ethernetinterfacese hängt in den VLANs ''lan'', ''mur.at'' und ''0xFF'' |
* Ubiquit Routerstation Pro * Openwrt Backfire 10.03.1 * 3 der 4 Ethernetinterfacese hängen in den VLANs ''mur.at'', ''funkfeuer'' und ''public'' == Konfiguration == tba... = Gateway = == DNS == Wichtig zum Nachschauen ist auf jeden Fall /etc/bind == Hardware/Betriebsystem == * Alix 2d13 mit 8Gb CF Karte * Debian squeeze mit einigen Modifikation um auf einem Read-Only Rootfilesystem zu laufen. * 2 der 3 Ethernetinterfacese hängen in den VLANs ''lan'' und ''public'' |
| Zeile 18: | Zeile 34: |
| Die Datei ''/etc/init.d/firewall'' beeinhalted die gesamte Firewall und NAT Konfiguration. {{{ #!/bin/sh -e ### BEGIN INIT INFO # Provides: firewall # Required-Start: networking # Required-Stop: networking # Default-Start: # Default-Stop: # Short-Description: configure firewall. ### END INIT INFO PATH="/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin" [ -x /sbin/iptables ] || exit 0 EXT_IF=eth0 PUBLIC_IP=89.106.209.26 MODEMS_IP=172.16.19.36 MODEMS_NET=172.16.0.0/16 INT_IF=eth1 LOCAL_NET=192.168.1.0/24 FF_IF=eth2 BLOCKED_HOSTS="" MURONLY_HOSTS="192.168.1.45" MUR_NET="89.106.208.0/21" PORTFW="tcp,22,192.168.1.32" PORTFW=$PORTFW" tcp,80,192.168.1.8" PORTFW=$PORTFW" tcp,443,192.168.1.8" PORTFW=$PORTFW" udp,2020,192.168.1.21" PORTFW=$PORTFW" tcp,22001,192.168.1.16" PORTFW=$PORTFW" tcp,22002,192.168.1.51:22" PORTFW=$PORTFW" tcp,8081,192.168.1.16:80" start_firewall() { echo -n "Starting Firewall " # main NAT /sbin/iptables -t nat -A POSTROUTING -s $LOCAL_NET -d $MODEMS_NET -o $EXT_IF -j SNAT --to $MODEMS_IP /sbin/iptables -t nat -A POSTROUTING -s $LOCAL_NET -o $EXT_IF -j SNAT --to $PUBLIC_IP # block all traffic from these hosts for host in $BLOCKED_HOSTS; do /sbin/iptables -t filter -A FORWARD -s $host -j DROP done # allow traffic to mur.at only for host in $MURONLY_HOSTS; do /sbin/iptables -t filter -A FORWARD -s $host ! -d $MUR_NET -j DROP done # install port forwardings for fw in $PORTFW; do proto=${fw%%,*} port=${fw#*,} port=${port%%,*} to=${fw##*,} /sbin/iptables -t nat -A PREROUTING -d $PUBLIC_IP -p $proto --dport $port -j DNAT --to $to done echo "." } stop_firewall() { echo -n "Stoping Firewall " /sbin/iptables -t mangle -F /sbin/iptables -t nat -F /sbin/iptables -t filter -F echo "." } case "$1" in start) start_firewall ;; stop) stop_firewall ;; restart) stop_firewall sleep 1 start_firewall ;; *) echo "Usage: /etc/init.d/firewall {start|stop|restart}" exit 1 ;; esac exit 0 }}} |
Die Firewall wird über den Script ''rhwall'' konfiguriert. Dieser lädt die Datei ''/etc/network/firewall.sh'' die die 4 Funktion ''ipv4_up'', ''ipv4_down'', ''ipv6_up'' and ''ipv6_down'' definieren muss. ''rhwall'' kann mit ''up'', ''down'' oder ''reload'' aufgerufen werden. ''up'' und ''down'' werden von einem Initscript beim Booten und herunterfahren verwendet. ''reload'' versucht die neuen Regeln zu laden und im Falle eines Fehlers werden die Alten wiederhergestellt. Nachdem die neuen Regeln installiert wurden wartet das Script 20 Sekunden auf eine Bestätigung und im Falle des Ausbleibens dieser Bestätigung werden die alten Regeln wiederhergestellt. Dies soll verhindern das man nach einer falschen Konfiguration den Gateway nicht mehr erreichen kann. |
| Zeile 133: | Zeile 60: |
| Im Radio sind derzeit 4 managebare Switches im Einsatz. Diese werden wie in [[Dokumentation/Netzwerkplan|Netzwerkplan]] gezeigt verwendet. | Im Radio sind derzeit 5 managebare Switches im Einsatz. Diese werden wie in [[Dokumentation/Netzwerkplan|Netzwerkplan]] gezeigt verwendet. |
| Zeile 137: | Zeile 64: |
| Ein ''Cisco SRW2024'' Switch der im [[Dokumentation/Infrastrukturrack|Infrastruktur Rack]] untergebracht ist. Es handelt sich dabei um eine managebaren 24 Port GBit Switch. | Ein ''Cisco SG-300-28'' Switch der im [[Dokumentation/Infrastrukturrack|Infrastruktur Rack]] untergebracht ist. Es handelt sich dabei um eine managebaren 28 Port GBit Switch. |
| Zeile 153: | Zeile 80: |
| Ein ''Cisco SRW2008'' Switch der im Technikraum untergebracht ist. Es handelt sich dabei um einen managebaren 8 Port GBit Switch. | Ein ''Cisco SRW2024'' Switch der im Technikraum untergebracht ist. Es handelt sich dabei um einen managebaren 24 Port GBit Switch. |
| Zeile 161: | Zeile 88: |
| Ein ''Cisco SRW2008'' Switch der im Technikraum untergebracht ist. Es handelt sich dabei um einen managebaren 8 Port GBit Switch. | Ein ''Cisco SRW2008'' Switch der im Foyer unterhalb der Arbeitsplätze montiert ist. Es handelt sich dabei um einen managebaren 8 Port GBit Switch. === Portbelegung === tba.. == SW4 == Ein ''Cisco SRW2008'' Switch der im Redaktionsfoyer auf dem Tisch liegt. Es handelt sich dabei um einen managebaren 8 Port GBit Switch. |
Gateway und restliche Netzwerkinfrastruktur
Diese Seite ist ist Teil der Technischen Dokumentation von Radio Helsinki. Alle weiteren Seiten der Dokumentation:
Router
Hardware/Betriebsystem
- Ubiquit Routerstation Pro
- Openwrt Backfire 10.03.1
3 der 4 Ethernetinterfacese hängen in den VLANs mur.at, funkfeuer und public
Konfiguration
tba...
Gateway
DNS
Wichtig zum Nachschauen ist auf jeden Fall /etc/bind
Hardware/Betriebsystem
- Alix 2d13 mit 8Gb CF Karte
- Debian squeeze mit einigen Modifikation um auf einem Read-Only Rootfilesystem zu laufen.
2 der 3 Ethernetinterfacese hängen in den VLANs lan und public
Konfiguration
Firewall und NAT
Die Firewall wird über den Script rhwall konfiguriert. Dieser lädt die Datei /etc/network/firewall.sh die die 4 Funktion ipv4_up, ipv4_down, ipv6_up and ipv6_down definieren muss. rhwall kann mit up, down oder reload aufgerufen werden. up und down werden von einem Initscript beim Booten und herunterfahren verwendet. reload versucht die neuen Regeln zu laden und im Falle eines Fehlers werden die Alten wiederhergestellt. Nachdem die neuen Regeln installiert wurden wartet das Script 20 Sekunden auf eine Bestätigung und im Falle des Ausbleibens dieser Bestätigung werden die alten Regeln wiederhergestellt. Dies soll verhindern das man nach einer falschen Konfiguration den Gateway nicht mehr erreichen kann.
DHCP-Server
tba..
NTP-Server
tba..
Boot Server (TFTP)
tba..
Modem
tba..
Switches
Im Radio sind derzeit 5 managebare Switches im Einsatz. Diese werden wie in Netzwerkplan gezeigt verwendet.
SW0
Ein Cisco SG-300-28 Switch der im Infrastruktur Rack untergebracht ist. Es handelt sich dabei um eine managebaren 28 Port GBit Switch.
Portbelegung
tba..
SW1
Ein Cisco SRW2024 Switch der im Server Rack untergebracht ist. Es handelt sich dabei um einen managebaren 24 Port GBit Switch.
Portbelegung
tba..
SW2
Ein Cisco SRW2024 Switch der im Technikraum untergebracht ist. Es handelt sich dabei um einen managebaren 24 Port GBit Switch.
Portbelegung
tba..
SW3
Ein Cisco SRW2008 Switch der im Foyer unterhalb der Arbeitsplätze montiert ist. Es handelt sich dabei um einen managebaren 8 Port GBit Switch.
Portbelegung
tba..
SW4
Ein Cisco SRW2008 Switch der im Redaktionsfoyer auf dem Tisch liegt. Es handelt sich dabei um einen managebaren 8 Port GBit Switch.
Portbelegung
tba..