| hispeed @ Cablecom (DHCP-Provider) oder mit Modul DJBDNS (siehe unten) |
Der Aufbau einer Anlage mit Kabelmodem geht schon einiges über die allgemeine Grundkenntnisse von PC und Netzwerk hinaus. Damit der Anwender die einzelnen Schritte einigermassen versteht, setzt der Autor ein vorgängiges Studium und minimales Verständnis der allgemeinen Anleitung für Fli4L voraus. Bei TV-Kabel-Providern wird ein eigener Frequenzbereich für die Uebertragung der Internet-Signale (beide Wege) mit einem speziellen Kabelmodem genutzt. Diese Technik hat den entscheidenden Vorteil, dass wesentlich höhere Geschwindigkeiten gefahren werden können, und zwar meistens ganz ohne Einwahlprozedur.
Weil in dieser Betriebsart das lokale Netzwerk also permanent mit dem Internet verbunden ist, sind
die von Fli4L angebotenen Sicherheitsfunktionen (Firewall) besonders wichtig. Damit diese Sicherheit
auch wirklich greift, sollte, wenn immer möglich, mit mindestens zwei NIC (Netzwerkkarten) gearbeitet
werden. In Fli4L wird für eine funktionierende Minimalkonfiguration ausser dem Basispaket nur noch das Modul DHCP benötigt. Die nachfolgenden Konfigurationsanpassungen beschränken sich auf die spezifischen Abweichungen gegenüber der Standardkonfiguration. |
| Config/BASE.TXT: |
| Wie im einleitenden Text schon erwähnt, werden 2 Netzwerk-Karten konfiguriert. Da die meisten Modems nicht gerne mit übermässig viel Signal zugestopft werden wollen, genügt für 'eth1' eine 10MB-Ethernet-Karte, welche zudem nur in 'halbduplex' betrieben werden soll. (Karteneinstellung mit Setup-Software des Herstellers) |
#------------------------------------------------------------------------------- # Ethernet card drivers: #------------------------------------------------------------------------------- ETH_DRV_N='2' # 2 NIC im Einsatz ETH_DRV_1='xxxxx' # 1.NIC-Treiber (eth0) ETH_DRV_1_OPTION='' # 1.NIC Optionseinstellungen ETH_DRV_2='yyyyy' # 2.NIC-Treiber (eth1) ETH_DRV_2_OPTION='' # 2.NIC Optionseinstellungen |
| Eine der beiden NIC's ist ausschliesslich für die Verbindung zum Modem bestimmt und wird nicht als Router-Netzwerk bezeichnet, daher ist nachfolgend ein Netzwerk weniger, als Karten vorhanden sind, zu definieren. (meistens nur eines) |
#------------------------------------------------------------------------------- # Ether networks used with IP protocol: #------------------------------------------------------------------------------- IP_ETH_N='1' # 1 Ethernet Netzwerk IP_ETH_NAME='' # optional IP_ETH_1_IPADDR='192.168.xxx.xxx' # IP für lokale Router-NIC (eth0) IP_ETH_1_NETWORK='192.168.xxx.0' # lokales Netzwerk IP_ETH_1_NETMASK='255.255.255.0' # Netz-Maske für lokales Netzwerk |
| Die Definition für Masquerading bezieht sich, wie die Netzwerk und IP-Definition, nur auf die reinen Router-Netzwerke, auch hier wird also das Modem nicht berücksichtigt. |
#------------------------------------------------------------------------------- # Masquerading: #------------------------------------------------------------------------------- MASQ_NETWORK='192.168.xxx.0/24' # Masquerading (eigenes Netzwerk) MASQ_MODULE_N='x' # Anzahl genutzte MASQ-Module MASQ_MODULE_... # genutzte MASQ-Module |
|
Nachstehend die sicherheitstechnisch wichtigen Regeln für den Betrieb der Firewall: In der Grundfunktion sind hier 2 Ports freigeschaltet, nämlich Port53 für den DNS-Server (wir müssen uns ja im Web zurechtfinden) und Port113 für die Authentifizierung (Anwenderkennung). Hier müssen wir für die Kommunikation mit dem Modem weitere Ports freischalten, und zwar Port67 (Boot-Protocol-Server) und Port68 (Boot-Protocol-Client) |
#------------------------------------------------------------------------------- # Firewall: ports to reject/deny from outside (all served ports) # # here we leave 4 ports untouched: # # 53 dns # 67 Kabelmodem Server # 68 Kabelmodem Client # 113 auth #------------------------------------------------------------------------------- FIREWALL_DENY_PORT_N='7' # Anzahl Einträge FIREWALL_DENY_PORT_1='0:52' REJECT # privileged FIREWALL_DENY_PORT_2='54:66' REJECT # privileged FIREWALL_DENY_PORT_3='69:112' REJECT # privileged FIREWALL_DENY_PORT_4='114:1023' REJECT # privileged FIREWALL_DENY_PORT_5='5000:5001' REJECT # imond/telmond ports FIREWALL_DENY_PORT_6='8000' REJECT # proxy access FIREWALL_DENY_PORT_7='20012' REJECT # vbox server access |
|
In der Domain-Konfiguration wird START_DNS eingeschaltet und der/die DNS-Server des verwendeten
Providers unter DNS_FORWARDERS eingetragen. DNS-Server für Cablecom: 62.2.17.60, 62.2.17.61, 62.2.24.158, 62.2.24.162 Die restlichen Einstellungen sind nach eigenen Wünschen oder gemäss Standardanwendungen, dasselbe gilt für die Host's. |
#------------------------------------------------------------------------------- # Domain configuration: #------------------------------------------------------------------------------- START_DNS='yes' # start dns server DNS_FORWARDERS='xxx.xxx.xxx.xxx' # DNS server(s) of your provider DNS_VERBOSE='no' # log queries in /usr/local/ens/ens.log DOMAIN_NAME='local.lan' # Name für eigenes Netzwerk DNS_FORBIDDEN_N='0' # number of forbidden domains HOSTS_N='n' # Anzahl Host's im LAN (incl.Router) HOST_1='192.168.xxx.xxx fli4l' # IP-Zuordnung HOST_2='192.168.xxx.xxx Client1' # IP-Zuordnung HOST_3='192.168.xxx.xxx Client2' # IP-Zuordnung HOST_. |
| IMOND, der Name sagt's eigentlich schon (Isdn MONitor Daemon), hat nichts mit dem Kabelmodem zu tun, also ist alles abzuschalten. Dasselbe gilt natürlich auch für IMONC (Isdn MONitor Client). Fernbedienung und Fernwartung muss allenfalls über TELNET realisiert werden. |
#------------------------------------------------------------------------------- # imond configuration: #------------------------------------------------------------------------------- START_IMOND='no' # keine ISDN-Nutzung also 'no' IMOND_. # alle Einträge auf default bzw. 'no' |
|
Weil IP's als kostbares Gut gelten (nur begrenzte Anzahl verfügbar), lassen sich die Provider, fest
zugeteilte IP's für teures Geld bezahlen; das ist für die meisten Anwender aber kein Problem, da
nicht notwendig. Ueblicherweise werden vom Provider dynamische (ständig wechselnde) IP's zugeteilt, dem wird mit IP_DYN_ADR Rechnung getragen. Des weiteren brauchen wir für den TV-Kabel-Betrieb keine Einwahlprozedur, DIALMODE ist also auszuschalten. |
#------------------------------------------------------------------------------- # Generic circuit configuration: #------------------------------------------------------------------------------- IP_DYN_ADR='yes' # dynamische IP's verwenden DIALMODE='off' # kein Einwählen erforderlich |
| Config/DHCP.TXT: |
|
Die Verbindung zum Kabelmodem wird über DHCP-Server und einen DHCP-Client geregelt. Im DHCP-Server
werden vor allem die minimalen Gültigkeitszeiten der dynamisch zugeteilten IP's geregelt. Der DHCP-Client regelt die Weiterleitung der zugeteilten IP's an die Routerdienste. Bisherige Erfahrungen haben gezeigt, dass bei TV-Kabel in fast allen Fällen mit DHCPCD als Client gearbeitet werden muss. |
#------------------------------------------------------------------------------- # Optional package: DHCP-Server #------------------------------------------------------------------------------- OPT_DHCP='yes' # DHCP-Server installieren DHCP_. # alle DHCP-Einstellungen nach Belieben #------------------------------------------------------------------------------- # Optional package: DHCP-Client #------------------------------------------------------------------------------- OPT_DHCLIENT='no' # nur 1 Client, meist DHCPCD aktivieren #------------------------------------------------------------------------------- # Optional package: DHCPCD #------------------------------------------------------------------------------- OPT_DHCPCD='yes' # nur 1 Client, meist DHCPCD aktivieren DHCPCD_INTERFACES='eth1' # NIC für Kabelmodem (eth1) DHCPCD_USEPEERDNS='no' # 'no' - eigene Forwarderdefinition |
| Alle vorstehend nicht erwähnten Einträge in den Konfigurationsdateien können nach Belieben eingerichtet werden, oder bleiben in der Defaulteinstellung. |
| Der Autor empfiehlt, zunächst einmal mit diesen zur Grundkonfiguration erforderlichen Modulen zu beginnen. Die Startdiskette erstellen und erst einmal gemäss Anleitung für das entsprechende Betriebssystem, die Clients einrichten. Nun werden die Funktionen des Routers mit 'ping' und den IP-Adressen, sowie den eingerichteten Gerätenamen überprüft. Wenn soweit alles läuft, kann mit dem weiteren schrittweisen Aufbau des Systemes weitergearbeitet werden. |
| Und nun, viel Erfolg mit Fli4L. |
| hispeed @ Cablecom (DHCP-Provider) mit Modul DJBDNS |
Der Aufbau einer Anlage mit Kabelmodem geht schon einiges über die allgemeine Grundkenntnisse von PC und Netzwerk hinaus. Damit der Anwender die einzelnen Schritte einigermassen versteht, setzt der Autor ein vorgängiges Studium und minimales Verständnis der allgemeinen Anleitung für Fli4L voraus. Bei TV-Kabel-Providern wird ein eigener Frequenzbereich für die Uebertragung der Internet-Signale (beide Wege) mit einem speziellen Kabelmodem genutzt. Diese Technik hat den entscheidenden Vorteil, dass wesentlich höhere Geschwindigkeiten gefahren werden können, und zwar meistens ganz ohne Einwahlprozedur.
Weil in dieser Betriebsart das lokale Netzwerk also permanent mit dem Internet verbunden ist, sind
die von Fli4L angebotenen Sicherheitsfunktionen (Firewall) besonders wichtig. Damit diese Sicherheit
auch wirklich greift, sollte, wenn immer möglich, mit mindestens zwei NIC (Netzwerkkarten) gearbeitet
werden. In Fli4L wird für eine funktionierende Minimalkonfiguration ausser dem Basispaket nur noch das Modul DHCP und als alternativer DNS das Modul DJBDNS benötigt. Die nachfolgenden Konfigurationsanpassungen beschränken sich auf die spezifischen Abweichungen gegenüber der Standardkonfiguration. |
| Config/BASE.TXT: |
| Wie im einleitenden Text schon erwähnt, werden 2 Netzwerk-Karten konfiguriert. Da die meisten Modems nicht gerne mit übermässig viel Signal zugestopft werden wollen, genügt für 'eth1' eine 10MB-Ethernet-Karte, welche zudem nur in 'halbduplex' betrieben werden soll. (Karteneinstellung mit Setup-Software des Herstellers) |
#------------------------------------------------------------------------------- # Ethernet card drivers: #------------------------------------------------------------------------------- ETH_DRV_N='2' # 2 NIC im Einsatz ETH_DRV_1='xxxxx' # 1.NIC-Treiber (eth0) ETH_DRV_1_OPTION='' # 1.NIC Optionseinstellungen ETH_DRV_2='yyyyy' # 2.NIC-Treiber (eth1) ETH_DRV_2_OPTION='' # 2.NIC Optionseinstellungen |
| Eine der beiden NIC's ist ausschliesslich für die Verbindung zum Modem bestimmt und wird nicht als Router-Netzwerk bezeichnet, daher ist nachfolgend ein Netzwerk weniger, als Karten vorhanden sind, zu definieren. (meistens nur eines) |
#------------------------------------------------------------------------------- # Ether networks used with IP protocol: #------------------------------------------------------------------------------- IP_ETH_N='1' # 1 Ethernet Netzwerk IP_ETH_NAME='' # optional IP_ETH_1_IPADDR='192.168.xxx.xxx' # IP für lokale Router-NIC (eth0) IP_ETH_1_NETWORK='192.168.xxx.0' # lokales Netzwerk IP_ETH_1_NETMASK='255.255.255.0' # Netz-Maske für lokales Netzwerk |
| Die Definition für Masquerading bezieht sich, wie die Netzwerk und IP-Definition, nur auf die reinen Router-Netzwerke, auch hier wird also das Modem nicht berücksichtigt. |
#------------------------------------------------------------------------------- # Masquerading: #------------------------------------------------------------------------------- MASQ_NETWORK='192.168.xxx.0/24' # Masquerading (eigenes Netzwerk) MASQ_MODULE_N='x' # Anzahl genutzte MASQ-Module MASQ_MODULE_... # genutzte MASQ-Module |
|
Nachstehend die sicherheitstechnisch wichtigen Regeln für den Betrieb der Firewall: In der Grundfunktion sind hier 2 Ports freigeschaltet, nämlich Port53 für den DNS-Server (wir müssen uns ja im Web zurechtfinden) und Port113 für die Authentifizierung (Anwenderkennung). Hier müssen wir für die Kommunikation mit dem Modem weitere Ports freischalten, und zwar Port67 (Boot-Protocol-Server) und Port68 (Boot-Protocol-Client) |
#------------------------------------------------------------------------------- # Firewall: ports to reject/deny from outside (all served ports) # # here we leave 4 ports untouched: # # 53 dns # 67 Kabelmodem Server # 68 Kabelmodem Client # 113 auth #------------------------------------------------------------------------------- FIREWALL_DENY_PORT_N='7' # Anzahl Einträge FIREWALL_DENY_PORT_1='0:52' REJECT # privileged FIREWALL_DENY_PORT_2='54:66' REJECT # privileged FIREWALL_DENY_PORT_3='69:112' REJECT # privileged FIREWALL_DENY_PORT_4='114:1023' REJECT # privileged FIREWALL_DENY_PORT_5='5000:5001' REJECT # imond/telmond ports FIREWALL_DENY_PORT_6='8000' REJECT # proxy access FIREWALL_DENY_PORT_7='20012' REJECT # vbox server access |
|
In der Domain-Konfiguration muss START_DNS ausgeschaltet bleiben. Der Eintrag DNS_FORWARDERS wird
nur noch aus Kompatibilitätsgründen eingetragen. Die restlichen Einstellungen sind nach eigenen Wünschen oder gemäss Standardanwendungen, dasselbe gilt für die Host's. |
#------------------------------------------------------------------------------- # Domain configuration: #------------------------------------------------------------------------------- START_DNS='no' # DJBDNS regelt dies eigenständig DNS_FORWARDERS='xxx.xxx.xxx.xxx' # DNS server DNS_VERBOSE='no' # DJBDNS - keine Logs möglich DOMAIN_NAME='local.lan' # Name für eigenes Netzwerk DNS_FORBIDDEN_N='0' # DJBDNS - keine Unterstützung HOSTS_N='n' # Anzahl Host's im LAN (incl.Router) HOST_1='192.168.xxx.xxx fli4l' # IP-Zuordnung HOST_2='192.168.xxx.xxx Client1' # IP-Zuordnung HOST_3='192.168.xxx.xxx Client2' # IP-Zuordnung HOST_. |
| IMOND, der Name sagt's eigentlich schon (Isdn MONitor Daemon), hat nichts mit dem Kabelmodem zu tun, also ist alles abzuschalten. Dasselbe gilt natürlich auch für IMONC (Isdn MONitor Client). Fernbedienung und Fernwartung muss allenfalls über TELNET realisiert werden. |
#------------------------------------------------------------------------------- # imond configuration: #------------------------------------------------------------------------------- START_IMOND='no' # keine ISDN-Nutzung also 'no' IMOND_. # alle Einträge auf default bzw. 'no' |
|
Weil IP's als kostbares Gut gelten (nur begrenzte Anzahl verfügbar), lassen sich die Provider, fest
zugeteilte IP's für teures Geld bezahlen; das ist für die meisten Anwender aber kein Problem, da
nicht notwendig. Ueblicherweise werden vom Provider dynamische (ständig wechselnde) IP's zugeteilt, dem wird mit IP_DYN_ADR Rechnung getragen. Des weiteren brauchen wir für den TV-Kabel-Betrieb keine Einwahlprozedur, DIALMODE ist also auszuschalten. |
#------------------------------------------------------------------------------- # Generic circuit configuration: #------------------------------------------------------------------------------- IP_DYN_ADR='yes' # dynamische IP's verwenden DIALMODE='off' # kein Einwählen erforderlich |
| Config/DHCP.TXT: |
|
Die Verbindung zum Kabelmodem wird über DHCP-Server und einen DHCP-Client geregelt. Im DHCP-Server
werden vor allem die minimalen Gültigkeitszeiten der dynamisch zugeteilten IP's geregelt. Der DHCP-Client regelt die Weiterleitung der zugeteilten IP's an die Routerdienste. Bisherige Erfahrungen haben gezeigt, dass bei TV-Kabel in fast allen Fällen mit DHCPCD als Client gearbeitet werden muss. |
#------------------------------------------------------------------------------- # Optional package: DHCP-Server #------------------------------------------------------------------------------- OPT_DHCP='yes' # DHCP-Server installieren DHCP_. # alle DHCP-Einstellungen nach Belieben #------------------------------------------------------------------------------- # Optional package: DHCP-Client #------------------------------------------------------------------------------- OPT_DHCLIENT='no' # nur 1 Client, meist DHCPCD aktivieren #------------------------------------------------------------------------------- # Optional package: DHCPCD #------------------------------------------------------------------------------- OPT_DHCPCD='yes' # nur 1 Client, meist DHCPCD aktivieren DHCPCD_INTERFACES='eth1' # NIC für Kabelmodem (eth1) DHCPCD_USEPEERDNS='no' # DJBDNS regelt dies selbst |
| Config/DJBDNS.TXT: |
| Für alle Provider, welche den Betrieb mit Port53 unterdrücken, doch auch für alle Anwender, welche sich nicht mit ständig ändernden IP-Adressen herumschlagen wollen, bietet das Modul DJBDNS die Lösung. DJBDNS orientiert sich auf hohen Port's direkt bei den Root-Servern im Internet, umgeht also die Port53-Fallen und ist zudem ständig up-to-date. |
#------------------------------------------------------------------------------- # Optional package: DJBDNS #------------------------------------------------------------------------------- OPT_DJBDNS='yes' # DHCP-Server installieren |
| Alle vorstehend nicht erwähnten Einträge in den Konfigurationsdateien können nach Belieben eingerichtet werden, oder bleiben in der Defaulteinstellung. |
| Der Autor empfiehlt, zunächst einmal mit diesen zur Grundkonfiguration erforderlichen Modulen zu beginnen. Die Startdiskette erstellen und erst einmal gemäss Anleitung für das entsprechende Betriebssystem, die Clients einrichten. Nun werden die Funktionen des Routers mit 'ping' und den IP-Adressen, sowie den eingerichteten Gerätenamen überprüft. Wenn soweit alles läuft, kann mit dem weiteren schrittweisen Aufbau des Systemes weitergearbeitet werden. |
| Und nun, viel Erfolg mit Fli4L. |
| der Webmaster (Fli4L.ch) |
- Dieses Tutorial ausdrucken -