Suse Linux Enterprise
DNS-Client
resolver
cd /etc/resolv.conf
vim resolv.conf
nameserver 192.168.190.100
search alex.hzus.de
rcnamed start
DNS-Server
bind => berkly internet name demon
/etc/named.conf => Konfigurationsdatei des Name-Servers, Benutzer named startet den Dienst
rcnamed start => starte demon
Beide höheren Protokolle werden vom DNS eingesetzt:
TCP => Zonenübertragung
UDP => Namensauflösung
Peer to Peer => Jeder Benutzer ist für seinen PC verantwortlich, ist Admin, kann Freigaben bereitstellen und nutzen – z. B. Datei- und Druckerfreigabe auf einem Client (einer Workstation) – jeder Client ist auch Server
dedizierter Server => für EINE Aufgabe bereitgestellter Server
Server => stellt Dienste bereit
Client für MS-Netzwerke => Für Anmeldung an eine Domäne erforderlich => Nachrichtendienst
QoS Paketplaner => optimierung für AD Verbindungsgeschwindigkeit
E/A-Treiber für Verbindungsschicht => erreiche ich MS-Server
Für Aufnahme in Domäne
Domäne anpingen – nicht Domaincontroller oder PC
Firewall-Regeln:
iptables
-P = Policy – Standardregel
-A = Add – hinzufügen
-I = Einfügen
-F = Flush – löschen
-D = löschen einer Regel
-L = Liste
Policys:
INPUT – OUTPUT – FORWARD
PREROUTING – POSTROUTING
Regel:
-j = ACCEPT – DROP – REJECT
Bedingungen:
-s = source / Quelle
-d = destination / Ziel
-p = Protokoll – tcp – udp – icmp (Ping)
–sport = Source-/Quell-Port
–dport = Destination-/Ziel-Port
fwstart
#! /bin/bash
iptables -F
iptables -P INPUT DROP iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -s 192.168.190.50 -j ACCEPT
iptables -A OUTPUT -d 192.168.190.50 -j ACCEPT
iptables -A INPUT -s 192.168.190.100 -j ACCEPT
iptables -A OUTPUT -d 192.168.190.100 -j ACCEPT
iptables -A INPUT -p tcp –sport 80 -j ACCEPT
iptables -A OUTPUT -p tcp –dport 80 -j ACCEPT
iptables -A INPUT -p tcp –sport 443 -j ACCEPT
iptables -A OUTPUT -p tcp –dport 443 -j ACCEPT
# DNS Server
iptables -A INPUT -p udp –sport 53 -j ACCEPT
iptables -A OUTPUT -p udp –dport 53 -j ACCEPT
# DNS Client
iptables -A INPUT -p udp -s 192.168.190.0/24 –dport 53 -j ACCEPT
iptables -A OUTPUT -p udp -d 192.168.190.0/24 –sport 53 -j ACCEPT
Firewall-Regeln für Router:
#! /bin/bash
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -s 192.168.190.50 -j ACCEPT ### Workstation kommt auf Router aber nicht ins Netz
iptables -A OUTPUT -d 192.168.190.50 -j ACCEPT ### Workstation kommt auf Router aber nicht ins Netz
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.190.0/24 -j SNAT –to-source 192.168.13.19 ## S-NAT
iptables -A FORWARD -s 192.168.190.110 -p tcp –dport 80 -j ACCEPT ## Proxy Server darf ins Netz – http
iptables -A FORWARD -d 192.168.190.110 -p tcp –sport 80 -j ACCEPT ## Proxy Server darf ins Netz – http
iptables -A FORWARD -s 192.168.190.110 -p tcp –dport 443 -j ACCEPT ## Proxy Server darf ins Netz – https
iptables -A FORWARD -d 192.168.190.110 -p tcp –sport 443 -j ACCEPT ## Proxy Server darf ins Netz – https
iptables -A FORWARD -s 192.168.190.110 -p udp –dport 53 -j ACCEPT ## Prim.-DNS Server darf ins Netz
iptables -A FORWARD -d 192.168.190.110 -p udp –sport 53 -j ACCEPT ## Prim.-DNS Server darf ins Netz
iptables -A FORWARD -s 192.168.190.100 -p udp –dport 53 -j ACCEPT ## Sek.-DNS Server darf ins Netz
iptables -A FORWARD -d 192.168.190.100 -p udp –sport 53 -j ACCEPT ## Sek.-DNS Server darf ins Netz
iptables -t nat -A PREROUTING -p tcp –dport 80 -i eth0 -j DNAT –to-destination 192.168.190.100 ## D-NAT
iptables -A FORWARD -s 192.168.190.100 -p tcp –sport 80 -j ACCEPT ## IIS kann von außen erreicht werden
iptables -A FORWARD -d 192.168.190.100 -p tcp –dport 80 -j ACCEPT ## IIS kann von außen erreicht werden
DNAT = PREROUTING = vor dem Routen = Destination Net Adress Translation
Zieladresse wird durch definierte IP-Adresse (z. B. des IIS) ersetzt
SNAT = POSTROUTING = nach dem Routen = Source Net Adress Translation
Quelladresse wird durch die Router-IP ersetzt