qiller
Goto Top

Bandbreitenmanagement-Firewall bei 32 festen Ips

Hallo alle zusammen,

Da ich leider nicht weiss, wo ich das reinposten soll, hab ich das mal in nem relativ allgemein gehaltenen Teil dieses Forums reingepackt.

Ok, zum Szenario: Ich habe hier ein Netzwerk mit 29 Client/Server-PCs (client/server deswegen, weil fast jeder PC auch als Server dienen muss, art der Dienste sind hauptsächlich games - wc3, starcraft etc., aber auch 1 PC der als web/ftp-server fungiert). ISP ist bei uns QSC, die uns eine 2,3Mbit SDSL-Leitung über den Speedstream 5851-SDSL-Router der Firma efficient networks (jetzt wohl Siemens angehörig) zur Verfügung stellt. Zugewiesen sind uns 32 feste, statische Ips, wovon 29 von uns nutzbar sind (netzmaske: 255.255.255.224) und auch voll genutzt werden. Am Router (Modem wohl integriert) hab ich keinerlei Zugriff, der wird von QSC ferngewartet wenns sein muss.

Mit anderen Worten: ich habe hier in erster Linie ein komplett ungeschütztes LAN, das so komplett auch im Internet present ist und entsprechend auch einfach von aussen ansprechbar ist. Die Sicherheit ist auch eigentlich nur ein zweitrangiges Problem, da es im LAN keine wirklich schutzbedürftigen Daten gibt und die Clients auch nicht rund um die Uhr erreichbar sind.

Mehr Kopfzerbrechen bereitet mir z.Z., wie ich ein Bandbreitenmanagement erreichen kann. Bestes Beispiel: 1 Client startet 2-3 Downloads und die BB ist schon am limit, so dass hauptsächlich bei den Spielern an anderen Clients die Latenz stark nach oben geht.

Nach längerem Suchen bin ich auf die Software von www.softinengines.com gestossen die so eine Software sogar als Freeware anbietet und sogar eine kleine Firewall beinhaltet (klingt optimal). Nun das Problem: Die Software geht wohl davon aus, dass man sie auf einem Pc mit installiertem Routerprogramm bzw Routingmehtoden (2 NICs in den PC eingebaut etc) betreibt und der komplette Internetverkehr der von und ins LAN geht über diesen PC abgewickelt wird (was ja durchaus nicht unüblich ist).
Nur ist das bei uns nicht der Fall (das macht ja der Router schon). Ich müsste nun ein PC aufsetzen, über den im grundegenommen der Internet-verkehr abgewickelt wird und wo ich dann die Software installieren kann. Die öffentlichen IPs sollten auch beibehalten werden bei den Clients, allerdings wäre eine Firewall-Funktion zwischen dem SpeedStream-Router und den Clients wünschenswert. Nur finde ich fast ausschliesslich Standard-Szenarien, wo man halt nur 1 IP vom ISP zugewiesen bekommt und sich die Clients per IIS oder NAT den Internetzugang teilen.

Hat jemand eine Idee, welche Einstellungen diesbezüglich nötig wären bzgl Betriebssystem (dachte z.b. an W2kprof), interner und externer NIC-Konfiguration (IP, Gateway, DNS) oder kennt vlt sogar jemand die Software und weiss dort weitere Einstellungen. Und wieviel Ips würde ich dann weniger zur Verfügung haben (braucht jede NIC wirklich 1 zugeordnete IP?).

Oder hat jemand noch eine komplett andere Idee, Bandbreitenmanagment (hauptsächlich ip-basierend) in einem mehr oder weniger "öffentlichen" Netz zu realisieren?


mfg Olli

Content-ID: 36543

Url: https://administrator.de/forum/bandbreitenmanagement-firewall-bei-32-festen-ips-36543.html

Ausgedruckt am: 25.12.2024 um 00:12 Uhr

thekingofqueens
thekingofqueens 24.07.2006 um 00:47:28 Uhr
Goto Top
Hat nicht was direkt mit deinem Problem zu tun aber wenn deine Rechner mal als Spamschleuder o.ä. genutzt werden weil sie nicht geschützt werden kann das böse Folgen haben.
apohl
apohl 24.07.2006 um 11:09:44 Uhr
Goto Top
Wie wäre es mit einer vernünftigen Firewall, bei der Du mittels Forwarding jede öffentliche IP auf eine private IP umsetzt ?

Müsste meines Wissens auch der IPCop können...und für den gibt´s ein AddOn für Bandbreitenmanagement (geht rudimentär sogar im Proxy).
luckylemontree
luckylemontree 24.07.2006 um 11:46:28 Uhr
Goto Top
@apohl

Der Opener hat geschrieben das er NUR öffentliche IPs hat. Nix mit NAT und Portmapping! Erst lesen und dann schreiben. Aber ansonsten ist IPCop schon recht gut.

@all
Für diesen Anwendungsfall müssen aber öffentliche IPs geroutet werden. Ich denke mal eine kleine Firewall sollte für 2,3MBit Bandbreite völlig reichen und dann in Verbindung mit einem Managebaren Switch. Im Switch stellt man dann pro Port die maximale Bandbreite ein.
Apropro Bandbreite... Ich glaube deine Unternehmung wird immer zu wenig Bandbreite haben wenn alle Services genutzt werden. Gameserver generieren schon einiges an Traffic (*>30Rechner!)! Und ne SDSL-Leitung hat auch bei 80% Auslastung keine Pings mehr von 18ms!

Viel Erfolg wünscht Dir

luckylemontree
apohl
apohl 24.07.2006 um 12:02:51 Uhr
Goto Top
Der Opener hat geschrieben das er NUR öffentliche IPs hat. Nix mit NAT und Portmapping!
Erst lesen und dann schreiben.

Oh tschuldigung, wenn es eine Lösung sein soll, bei der man eigentlich nur auf Install klickt und das Netz macht dann alles alleine, dann taugt mein Vorschlag natürlich nicht .... allerdings wüßte ich dann gerne, welches Produkt das macht....

Wo bitte ist das Problem, wenn man hingeht, eine Firewall zwischen Router und eigenem Netz hängt, der Firewall alle öffentlichen IP´s zuweist und dann im internen Netz private IP´s verwendet..... solange mn der Firewall sagt, nimm allen Traffic für öffentliche IP abc und leite ihn an die interne IP xyz (und umgekehrt), sollte es doch wohl kein Problem geben, oder (Stichwort DNAT und SNAT).

Wie war das mit der korrekten Reihenfolge von lesen, denken und schreiben ?*Kopfschüttel*
thekingofqueens
thekingofqueens 24.07.2006 um 18:34:45 Uhr
Goto Top
Vielleicht ist das was www.netlimiter.com
qiller
qiller 24.07.2006 um 18:59:18 Uhr
Goto Top
Das Firewall-Programm IPCop hört sich recht vernünftig an. Habe ne kleine Anleitung im Netz gefunden: http://www.tecchannel.de/client/sicherheit/433444/ - nur wie immer gehen die von nur einer öffentlichen ip aus, die man vom isp zugewiesen bekommt. Was ich also weiterhin nicht verstehe: Wie weis ich denn einer NIC mehrere IPs zu? z.b. das "Red"-Interface (ist wohl das externe Interface nehm ich an). Weis ich dem Interface 1 IP-Adresse zu, beantwortet es alle Anfragen auf diese IP. Nur hab ich aber nach "draussen" 32 IPs.... Oder hab ich da jetzt nen Denkfehler?

mfg olli
apohl
apohl 25.07.2006 um 16:00:30 Uhr
Goto Top
Hi,

das schöne beim Cop ist, daß Du auf der Kommandozeile ne ganze Menge machen kannst.

Schau mal in http://www.ipcop-forum.de , da hilft man Dir gerne weiter face-smile

Es geht aber auch im GUI vom IPCOP, dort kannst Du unter Netzwerk Alias-Adressen eingeben (sofern Du im Setup ROT mit Statischer Adresse definiert hast) und dann fleißig DNAT und SNAT Regeln erstellen (das sind die Suchwörter für´s Forum)

Hier mal ein Beitrag, der Dir helfen könnte: http://www.ipcop-forum.de/forum/viewtopic.php?p=49612#49612

Es soll da aber auch mittlerweile ein Addon für geben (http://www.ipcop-forum.de/forum/viewtopic.php?t=11854&highlight=) )

So, das sollte Dir erst mal zu denken geben face-smile
qiller
qiller 25.07.2006 um 21:23:36 Uhr
Goto Top
hey danke, das ist genau das, was ich gesucht hab face-smile. SNat bedeutet also mehr oder weniger das weiterleiten bzw übersetzen von ip-aliases von einem interface (bei mir wohl dann das red-interface) auf "private" ips-(aliases?) am green (evt auch am orange?) interface? Das snat-addon hört sich auch verdammt praktisch an (auf kommandozeilen ebene irgendwelche befehle eingeben oder linux-config-dateien editieren sind nich so mein ding - bin da eher in windows zu haus).

Habe ne kurze Beschreibung zu DNat gefunden: "DNAT besagt, dass eine Verbindung von Aussen aufgebaut wird (SYN) und der Router als scheinbarer Endpunkt der Verbindung das Paket intern weiterleitet an eine Zieladresse, die aber von Aussen nicht erreichbar ist."

Bräuchte ich dann nicht auch für jeden Client einen DNat-Eintrag? Immerhin sollen von jedem PC auch Dienste bereitgestellt werden, die von aussen dann erreichbar sein sollen (1 host mit web/ftp/Teamspeak-server; von den clients erstellte (Internet)-Spiele von z.b. Warcraft 3, die sonst ja nicht von aussen gefunden werden...). Oder beinhaltet dieses das SNat-addon schon?

kurze übersicht, wenn ich falsch liege bitte berichtigen:

http://212.202.225.100/images/fw.jpg

Benötigt das green/orange Interface dann ebenfalls IP-Aliases (wohl dann die des privaten Netzes)? (oder wieder Denkfehler bei mir?
Das bringt mich wieder zu der anfangs gestellte Frage: Braucht das Red-interface dann auch eine feste, öffentliche IP (also nicht als alias definiert), die ich dann nicht mehr weiterleiten kann, so dass ich letztendlich 1 IP weniger hab? Brauchen tu ich nämlich insgesamt 29, wobei bei 2-3 Clients es nicht so schlimm wär, wenn ich dort nach aussen keine feste IP hab und die sich eine öffentliche IP teilen müssten (dann wohl übers normale NAT wie mans schon kennt), nur sollten sie im restlichen LAN weiterhin ansprechbar sein (wie krieg ich das wieder hin?).

Kurze Erklärung: Nutzbar sind für uns nur 29 Ips. Wenn ich das richtig von QSC verstanden hab, ist die 1.IP die Netz-Ip (212.202.220.96), die 2. IP die Router-IP (212.202.220.97) und die letzte IP eine Broadcast-IP (212.202.225.127 - wozu brauch ich eine Broadcast-Ip?) - diese 3 IPs sind also "gesetzt".

Ok, ich schreib schon wieder zuviel, hoffe jemand kann zu der einen oder anderen Frage noch was beitragen, evt werd ich das dann lieber im IPCop-Forum weiterdiskutieren.

mfg Olli

PS: Das QoS-Addon von Markus Hoffman hab ich gefunden. Hoffe ich krieg damit das Bandbreitenmanagement dann geregelt. Danke nochmal für den Hinweis. face-smile
apohl
apohl 26.07.2006 um 09:09:11 Uhr
Goto Top
Hiho und Guten Morgen,

SNAT und DNAT sind Abkürzungen für Source-Nat (also interne Adresse wird durch externe Adresse als Absenderadresse ersetzt) und Destination-Nat (hast Du Dir selbst schono erklärt).

Ich persönlich kenne eigentlich keinen Einsatzzweck, bei dem nur die Verwendung von einem von beidem möglich wäre, da TCP/IP ja ein Zweiwege-Protokoll ist (sprich jede Anfrage wird auch beantwortet).

Ich kenne das AddOn von Markus nicht, da ich hier in der Firma keine Anwendung dafür habe, aber wenn ich das im Forum richtig verstanden habe, verknüpfst Du mit dem Addon eigentlich nur externe IP mit interner IP, den Rest macht das Addon (sprich es setzt die entsprechenden DNAT und SNAT Regeln).

Benötigt das green/orange Interface dann ebenfalls IP-Aliases (wohl dann die des
privaten Netzes)? (oder wieder Denkfehler bei mir?
Das bringt mich wieder zu der anfangs gestellte Frage: Braucht das Red-interface dann
auch eine feste, öffentliche IP (also nicht als alias definiert)

Ich hol jetzt mal etwas weiter aus (ein bischen Firewall-Theorie):

Zuerst mal die Farbdefinitionen beim Cop (und einigen anderen Firewalls):

- Rot =Extern
- Grün = internes sicheres Netz
- Orange = DMZ (dazu gleich)
- Blau = WLAN-Netz (falls man z.B. noch einen Accesspoint betreibt).

Zuerst mal die DMZ (demilitarisierte Zone). Hier werden im allgemeinen die Server/Rechner eingebunden, die von extern erreichbar sein sollen (also im Normalfall Webserver, etc.).

Sinn ist es, diese Rechner klar vom grünen Netzt zu trennen, da extern erreichbare Hosts eigentlich immer zum Hacken einladen.

Gleiches gilt übrigens auch für Blau. An diese Schnittstelle würde man einen Hotspot anschließen, der dann zwar freien Zugriff auf Rot hat (also in Internet kann), aber nicht auf Grün (es sei denn, man konfiguriert das handisch bzw. richtet nen VPN ein).

Da bei Euch aber jeder Rechner von aussen erreichbar sein soll, kannst Du Dir die Einrichtung einer DMZ sparen und solltest alles an Grün hängen (im Idealfall reichen also zwei NICs).

Das rote Interface braucht auf jeden Fall eine öffentliche IP, da es ja auf irgendwas lauschen muss.... allerdings solltest Du Dir den Begriff Alias noch mal anschauen.... das heißt nichts weiter, als das Du RED verschiedene Adressen zuweist, auf die es hört.

Ich bin mir allerdings gerade nicht sicher, ob sich in dem Addon auch diese eine Adresse einem Host zuweisen läßt....

Grün kriegt einfach eine freie Adresse aus der privaten Netzklasse (die es ja gar nicht mehr gibt, wenn ich das unter Wikipedia gerade richtig verstanden hab face-smile http://de.wikipedia.org/wiki/Netzklasse ), die Du dann bei den Clients als Standardgateway einträgst.

wobei bei 2-3 Clients es nicht so schlimm wär, wenn ich dort nach aussen keine feste IP
hab und die sich eine öffentliche IP teilen müssten

Dann würd ich doch den web-, ftp- und Teamspeakserver via Portforwarding ansprechen, da hier ja spezielle Ports angesprochen werden (von außen also z.B. http://rote.Adresse:80 auf http://interner.Webserver:80 usw.)

Kurze Erklärung: Nutzbar sind für uns nur 29 Ips. Wenn ich das richtig von QSC
verstanden hab, ist die 1.IP die Netz-Ip (212.202.220.96), die 2. IP die Router-IP
(212.202.220.97) und die letzte IP eine Broadcast-IP (212.202.225.127 - wozu brauch ich
eine Broadcast-Ip?) - diese 3 IPs sind also "gesetzt".

Och nö face-smile .... Subentzlehre spare ich mir jetzt mal und verweis Dich mal auf die jeweiligen Artikel bei der Wikipedia für Netzklasse (siehe oben), Subnetze ( http://de.wikipedia.org/wiki/Subnetz ) und Broadcastadresse ( http://de.wikipedia.org/wiki/Broadcast ), das der Router als Teil des Netzes nun mal eine IP gebraucht, sollte klar sein.

Gestatte mir übrigens noch ein paar Hinweise (Achtung, der Onkel gibt Weisheiten für´s Leben face-smile ):

So einfach das ja auch alle klingen mag (und es dank des gelungenen Guis vom COP auch teilweise ist), so birgt das Thema doch einige Stolperfallen (vor allem, wenn man den Cop mittels Addons für Spezialanforderungen anpasst... in der Standardconfig ist das eigentlich recht easy face-smile ).

Tu Dir selbst einen gefallen und nutz die Backup-Funktion des Cops für die Config-Dateien, wann immer Du einen Zwischenstand erreicht hast, der Deinen Wünschen entspricht.

Es reicht teilweise schon ein Mausklick, um die Kiste unerreichbar zu machen und das Netz von der Aussenwelt zu trennen (man kann dann zwar meist über die Kommandozeile alles wiederh hinbiegen....aber das ist ja nicht so Deine Welt face-smile

So musst Du zwar immer noch den Cop neuinstallieren, das Addon installieren und dann die Configs zurückspielen (in dieser Reihenfolge), sparst Dir aber die Zeit für diese elende Konfiguration bis zu diesem Punkt .... und das zerschießen passiert auch den sog. "profis" gelegentlich face-smile

So, ich hoffe mal, daß ich Dir ein bischen helfen konnte ....

Gruß, André
qiller
qiller 26.07.2006 um 22:03:16 Uhr
Goto Top
Huhu

Ich bin mir allerdings gerade nicht sicher,
ob sich in dem Addon auch diese eine Adresse
einem Host zuweisen läßt....

also wenn das so wäre, wärs in der tat einfach, weil ich dann wirklich jedem host bei uns (inkl dem ftp/ftp/ts-server) eine interne IP verpassen könnte, die mit dem addon einfach auf eine externe umgeleitet wird und umgekehrt.

Danke für die doch ausführlichen Erklärungen und vor allem für die Links, die haben immer genau ins schwarze Unwissen meinerseits getroffen haben und natürlich für den Rat zum Schluss face-smile.

mfg Olli
apohl
apohl 27.07.2006 um 08:23:37 Uhr
Goto Top
Gern geschehen.... und viel Spaß beim bastelb face-smile
apohl
apohl 27.07.2006 um 08:23:38 Uhr
Goto Top
Gern geschehen.... und viel Spaß beim bastelb face-smile