ihk w5

 

Suse Linux Enterprise

DNS-Client

resolver

cd /etc/resolv.conf
vim resolv.conf
nameserver 192.168.190.100
search alex.hzus.de

rcnamed start

DNS-Server

bind => berkly internet name demon

/etc/named.conf => Konfigurationsdatei des Name-Servers, Benutzer named startet den Dienst

rcnamed start => starte demon

Beide höheren Protokolle werden vom DNS eingesetzt:

TCP => Zonenübertragung
UDP => Namensauflösung

Peer to Peer => Jeder Benutzer ist für seinen PC verantwortlich, ist Admin, kann Freigaben bereitstellen und nutzen – z. B. Datei- und Druckerfreigabe auf einem Client (einer Workstation) – jeder Client ist auch Server

dedizierter Server => für EINE Aufgabe bereitgestellter Server

Server => stellt Dienste bereit

Client für MS-Netzwerke => Für Anmeldung an eine Domäne erforderlich => Nachrichtendienst
QoS Paketplaner => optimierung für AD Verbindungsgeschwindigkeit
E/A-Treiber für Verbindungsschicht => erreiche ich MS-Server

Für Aufnahme in Domäne

Domäne anpingen – nicht Domaincontroller oder PC

 

Firewall-Regeln:

iptables

-P = Policy – Standardregel
-A = Add – hinzufügen
-I = Einfügen
-F = Flush – löschen
-D = löschen einer Regel
-L = Liste
Policys:
INPUTOUTPUTFORWARD
PREROUTINGPOSTROUTING
Regel:
-j = ACCEPTDROPREJECT
Bedingungen:
-s = source / Quelle
-d = destination / Ziel
-p = Protokoll – tcp – udp – icmp (Ping)
–sport = Source-/Quell-Port
–dport = Destination-/Ziel-Port

fwstart

#! /bin/bash

iptables -F

iptables -P INPUT DROP iptables -P OUTPUT DROP
iptables -P FORWARD DROP

iptables -A INPUT -s 192.168.190.50 -j ACCEPT
iptables -A OUTPUT -d 192.168.190.50 -j ACCEPT

iptables -A INPUT -s 192.168.190.100 -j ACCEPT
iptables -A OUTPUT -d 192.168.190.100 -j ACCEPT

iptables -A INPUT -p tcp –sport 80 -j ACCEPT
iptables -A OUTPUT -p tcp –dport 80 -j ACCEPT

iptables -A INPUT -p tcp –sport 443 -j ACCEPT
iptables -A OUTPUT -p tcp –dport 443 -j ACCEPT

# DNS Server
iptables -A INPUT -p udp –sport 53 -j ACCEPT
iptables -A OUTPUT -p udp –dport 53 -j ACCEPT

# DNS Client
iptables -A INPUT -p udp -s 192.168.190.0/24 –dport 53 -j ACCEPT
iptables -A OUTPUT -p udp -d 192.168.190.0/24 –sport 53 -j ACCEPT

Firewall-Regeln für Router:

#! /bin/bash

iptables -F

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

iptables -A INPUT -s 192.168.190.50 -j ACCEPT ### Workstation kommt auf Router aber nicht ins Netz
iptables -A OUTPUT -d 192.168.190.50 -j ACCEPT ### Workstation kommt auf Router aber nicht ins Netz

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.190.0/24 -j SNAT –to-source 192.168.13.19 ## S-NAT

iptables -A FORWARD -s 192.168.190.110 -p tcp –dport 80 -j ACCEPT ## Proxy Server darf ins Netz – http
iptables -A FORWARD -d 192.168.190.110 -p tcp –sport 80 -j ACCEPT ## Proxy Server darf ins Netz – http

iptables -A FORWARD -s 192.168.190.110 -p tcp –dport 443 -j ACCEPT ## Proxy Server darf ins Netz – https
iptables -A FORWARD -d 192.168.190.110 -p tcp –sport 443 -j ACCEPT ## Proxy Server darf ins Netz – https

iptables -A FORWARD -s 192.168.190.110 -p udp –dport 53 -j ACCEPT ## Prim.-DNS Server darf ins Netz
iptables -A FORWARD -d 192.168.190.110 -p udp –sport 53 -j ACCEPT ## Prim.-DNS Server darf ins Netz

iptables -A FORWARD -s 192.168.190.100 -p udp –dport 53 -j ACCEPT ## Sek.-DNS Server darf ins Netz
iptables -A FORWARD -d 192.168.190.100 -p udp –sport 53 -j ACCEPT ## Sek.-DNS Server darf ins Netz

iptables -t nat -A PREROUTING -p tcp –dport 80 -i eth0 -j DNAT –to-destination 192.168.190.100 ## D-NAT

iptables -A FORWARD -s 192.168.190.100 -p tcp –sport 80 -j ACCEPT ## IIS kann von außen erreicht werden
iptables -A FORWARD -d 192.168.190.100 -p tcp –dport 80 -j ACCEPT ## IIS kann von außen erreicht werden

DNAT = PREROUTING = vor dem Routen = Destination Net Adress Translation
Zieladresse wird durch definierte IP-Adresse (z. B. des IIS) ersetzt

SNAT = POSTROUTING = nach dem Routen = Source Net Adress Translation
Quelladresse wird durch die Router-IP ersetzt