Extra configurations

?/!\ Grafikk i dokumentet må legges inn og oppdaters

Simple firewall

Skolelinux har en arkitektur som både passer sentralisert drift, med plassering av tjenester sentralt, og kan driftes lokal på hver skole. En brannmur gjør det enklere å starte med Skolelinux om man vil prøve ut en liten installasjon.

Enkel brannmur med floppy (Coyote)

Brukertilfelle: For å komme igang med Skolelinux trenger vi og lage en enkel brannmur. Hensikten er å dele Skolelinux-nettet fra det andre nettet som er satt opp.

Hovedforfatter Klaus Ade Johnstad

<pre> IP adresse (IP Address): 10.0.2.1

Press "n"

Dette refererer til noe av de ekstra tingene som man trenger om man vil ha tilgang fra tilbyderen Big Pond, men er ikke sikker. Er det noen som vet?

Press "n"

Varsel: Siden Skolelinux/Debian-edu allerede har DHCP-tjener kjørende, må du skru av DHCP-tjeneren på egen firewall/router. Det samme gjelder alle andre maskiner som eventuelt kobles til et Skolelinux/Debian-edu-nett. Å ha to DHCP-tjenere på samme nett fører som regel bare til trøbbel

Eksisterer en ny utgave av Coyote Linux når dette leses, kan den erstatte versjon 2.24 med kommandoene over med versjonsnummeret som ble lastet ned.

  1. Etter Coyote Linux er lastet ned må filene pakkes ut. Man må være root-bruker for å pakke ut.

tar zvxf coyote-2.24.tar.gz

cd coyote

./makefloppysh

  1. When creating Coyote Linux on a Linux machine, one need to answer several questions. Here is a summary of the answers that can be supplied:

<pre>a. Coyote floppy builder script v2.9

Valget som anbefales er «1.68MB»

<pre>b. Please select the type of Internet connection that your system uses.

Here it is best to select 1)

<pre>c. Configuring system for Ethernet based Internet connection.

Disse nettverksinstilingene for lokalt nettverk må endres. Se A

<pre> IP Address: 10.0.2.1

e. Does your Internet connection get its IP via DHCP? [y/n]:</pre> Svar yes(y) eller no(n) i samsvar med hva som er nett-oppsettet.

Får man IP via DHCP fyller man inn følgende informasjon:

<pre> Please enter the information for your static IP configuration

Vanligvis kan denne være blank

Vi tror dette refererer til noen ekstra ting som kommer fra leverandøren Big Pond, men er ikke sikre. Er det noen som vet så send oss en e-post.

<pre>h. Do you want to enable the Coyote DHCP server? [y/n]: n</pre> Her svaret være «n»!

<pre>i. If you don't know what a DMZ is, just answer NO\nDo you want to configure a De-Militarized Zone? [Y/N]: n</pre> Bare velg «n»

<pre>j. You now need to specify the module name and parameters for your

Dette er den vanskelige delen. Å vite hvilken modul som skal brukes for nettverkskorte er av og til vanskelig. Se på Seksjon 3.12 for å få et overblikk over tilgjengelige moduler. Husk, bruk ikke .o på slutten av modulnavnet. Bruk bare «fornavnet» på modulen.

Mange foretrekker 3Com. Nesten alle bruker modulen 3c59x.

<pre>k. The default language of the Coyote Web Administrator is English

Bruk engelsk. Det er mye enklere å få hjelp. Søk gjerne i Google for å finne løsning på problemer.

<pre>l. Syslog server address:</pre> Her kan man bruke hovedtjener som syslog-tjener. Bruk 10.0.2.2

  1. Du må sette inn en floppydisk i maskinen. Husk å skru av skrivebeskyttelsen. Det tar et par minutter å skrive til disketten.
  2. Vær sikker på at det ikke kommer noen feilmeldinger til ukjente NIC-moduler som dette:

<pre> Checking module deps for (wrong,bad)...

Vær sikker på at man får noe lignende dette isteden:

<pre> Checking module deps for (e100,3c59x)...

Løsning 2 Lag en Coyote Linux-diskett på en Windows-maskin

Å lager du en diskett på en Windows-maskin er nesten det samme som på Linux.

Last ned kildefilene for Windows. De kan hentes fra [http://www.coyotelinux.com/downloads/channel.php?ChannelID=5 Disk Creation Wizard v2.24.0]

Figur 3-2. Coyote Linux Windows Creator Welcome Image

Here you can just press "Next"

Figur 3-3. Lokalt nettverksoppsett av LAN

Fyll inn nødvendig informasjon om nettverket her: Se A

Fyll ut de rette IP-adressene og nettmaske (Netmask) gjør at Coyote Linux vil gi korrekt beregning av kringkastingsadresse (Broadcast) og nettadresse (Network)

Figur 3-4. Legg inn passord på Coyote Linux-disketten

Uten dette passordet kan du ikke logge inn på Coyote Linux ved en senere anledning. Se Seksjon 3.6

Figur 3-5. Syslog-tjener

La feltet stå blankt, eller se på 2.l

Figur 3-6. Type Internett-tilknytning (WAN)

Velg hva som passer for deg. Har du tilgang til DCHP-tjener, som er svært sannsynlig, da trenger du ikke mer informasjon.

Figur 3-7. Fast IP-oppsett

Har du en fast adresse, fyll ut de passende verdier her.

Figur 3-8. Ikke skrup på Coyote Linux DHCP-tjener!

Ikke skru på Coyote Linux DHCP-tjener. Det er allerede en som kjører på hovedtjener

Figur 3-9. Velg en drivermodul til nettverkskortet (NIC)

Dra og slipp for å velge riktig nettverkskort på Coyote Linux-maskinen.

I dette bestemte skjermbildet brukes modulen for 3Com på LAN-siden av nettet (Skolelinux), og Intel pro 100 kort for WAN-tilkoblingen (Internett).

Figur 3-10. Velg språk

Ønsker du å få god støtte på Internett, velge engelsk.

Figur 3-11. Lag disken

Plasser en floppydisk i diskettstasjonen, og trykk «Next».

Unntakshåndtering

Vårt klare råd er å lage minst 2 kopier av floppydisken. Det er kjekt å et par kopier klar om noe skulle skje.

Verification

< FIXME>

Oppdater konfigurasjonsdatabase

Enkel brannmur med CD

Brukertilfelle: For å komme igang med Skolelinux trenger vi og lage en enkel brannmur. Hensikten er å dele Skolelinux-nettet fra det andre nettet som er satt opp.

Hovedforfatter Klaus Ade Johnstad

Solution

Coyote Linux er et produkt i stadig utvikling og vedlikehold. Akkurat som Skolelinux/Debian-edu. Det betyr at nye versjoner blir utgitt stadig vekk, med nye funksjoner og sikkerhetsrettelser. Spesielt grunnet sikkerhetsfikser burde du alltid bruke nyeste stabile utgave Coyote Linux

Siden Coyote Linux kjøer kun fra en floppydisk så er det ikke noe system å oppgradere. Man må lage en ny floppy som beskrevet i Seksjon 3.3. For å gjøre denne prosessen så enkel som mulig er det noen ting å huske på.

  1. Finn ut hva slags nettverkskort du har. Om dette er ukjent kan man bruke kommandoen lsmod for å liste alle lastede moduler (drivere) som er i bruk. Kanskje dette vil gi en ide om hva slags nettverskort som er i bruk.

<pre>coyote# lsmod Module Size Used by 3c509 7732 2 ip_nat_quake3 1768 0 (unused) ip_nat_mms 2608 0 (unused) ip_nat_h323 2060 0 (unused) ip_nat_amanda 876 0 (unused) ip_nat_irc 1904 0 (unused) ip_nat_ftp 2384 0 (unused) ip_conntrack_quake3 1848 1 ip_conntrack_mms 2704 1 ip_conntrack_h323 2065 1 ip_conntrack_egg 2280 0 (unused) ip_conntrack_amanda 1488 1 ip_conntrack_irc 2672 1 ip_conntrack_ftp 3440 1</pre> I denne listen med moduler som er lastet er nettverkskortet 3Com509 på plass to ganger. For en liste med tilgjengelige moduler, se på

Det vil være best å skrive ned på selve maskinen hva slags nettverkskort som er i den.

  1. Hva slags «port forwarding» er det?

Informasjon om «port forwarding»-reglene, om det er laget noen, er i fila <code>/etc/coyote/portforwards</code>

<pre> coyote# more /etc/coyote/portforwards\nport Y 10.0.2.2 tcp 2333 22 # Example - Secondary SSH</pre>

Unntakshåndtering

Verification

Oppdater konfigurasjonsdatabase

Oppstart av Coyote brannmur

Brukertilfelle: Etter enkel brannmur er installert skal den installeres i nettet og virke.

Author: Klaus Ade Johnstad.

Solution

Det er to network card i Coyote Linux, en (LAN) er tilkoblet til Skolelinux/Debian-edu-tjeneren, den andre er koblet med en krysset kabel, eller via en sitsj til et annet nett (WAN). Noen ganger kan det være litt vanskelig å bestemme hvilke network card som er koblet hvor, spesielt om de begge er koblet til nett med lik adresse. Fremgangsmåten vi bruker for å bestemme hvilket kort som går hvor, er å bruke krysset kabel og først koble denne til network card i Skolelinux/Debian-edu-hovedtjener.

  1. Først starter man Coyote Linux uten noen kabel til network card
  2. Så brukes den kryssede kabelen for å koble Coyote Linux med Skolelinux/Debian-edu-hovedtjener (vær sikker på at den går i nettverkskortet merket eth0 om hovedtjener er en kombinert tjener).
  3. Logg inn på hovedtjener. Forsøk å bruke pingel Coyote Linux-maskinen. Bruk kommandoen ping -c10 10.0.2.1, eller alternativt forsøk å pinge hovedtjener fra Coyote Linux med kommandoen ping -c10 10.0.2.2.

  4. Da får du et svar som dette om det virker:

<pre>ping -c10 10.0.2.1 PING 10.0.2.1 (10.0.2.1): 56 data bytes 64 bytes from 10.0.2.1: icmp_seq=0 ttl=63 time=0.6 ms 64 bytes from 10.0.2.1: icmp_seq=1 ttl=63 time=0.3 ms 64 bytes from 10.0.2.1: icmp_seq=2 ttl=63 time=0.3 ms</pre> Da har du funnet network card på Coyote Linux som må merkes LAN. Da vet vi at den andre network card er WAN. Denne fremgangsmåten vil bare virke sålenge network card-et på LAN-et er satt opp riktig. Som vist under oppstarten på linen

<pre>LAN network: UP</pre>

Er normalt det som vises

<pre>WAN network:

Siden du har startet uten noen kabler i network card-en.

Når det er bestemt hvilken rolle det er for hver av network card-ene, da kan man omstarte brannmuren med alle kablene på plass.

Forskjellige navn på network card-ene

De to network card-ene har fote forskjellige navn i Coyote Linux. Det blir litt forvirrende og lite konsistent. Her følger en oversikt:

De forskjellige navn brukt på network cards i Coyote Linux

Denne går til eksisterende nett

Internett

Eth1

WAN

Denn går til Skolelinux-nettet

LAN network

Eth0

LAN

Start Coyote Linux-maskinen omigjen og vær sikker på at floppydisken til Coyote Linux står i diskettstasjonen. Pass også på at maskinen er satt opp til å starte fra floppydisk.

Figur 3-12. Coyote Linux Login

Du kan logge inn. Bruk brukernavnet «root» og passordet som ble bestemt når floppydisken ble laget (om dette ble gjort fra Windows). Eller trykk Enter (tomt passord) for innlogging på disketten laget med Linux

Notat: Det er vanlig at det ikke følger med noen tilbakemelding når man trykker passord i et Linux-system. Dette er for å avsløre så lite som mulig om passordet.

Unntakshåndtering

meny, status til nettveket, nede

Når du har kommet inn, trykk «c» for å få statusen til nettverket. I tilfelle det er et problem:

Figur 3-14. meny, status til nettverket, opp

Om alt har gått bra vil begge være «oppe»

Q: Det ser ut som network card (LAN) som går til Skolelinux/Debian-edu-nettet ikke virker: DOWN

Q: Det ser ut som network card (WAN) som er tilkoblet Internett ikke virker: DOWN

Q: Vi har satt opp brannmurer med mange forskjellige nettverkskort og driver-moduler for mange network card. Vi har til gode å finne noe som ikke virker riktig.

Q:Det ser ut som network card (LAN) som går til Skolelinux/Debian-edu-nettet ikke virker: DOWN

A:Har du satt opp network card i henhold til A, men fortsatt virker det ikke. Det kan hende at man har valgt feil driver for network card

Q:Det ser ut som network card (WAN) som er tilkoblet Internett ikke virker: DOWN

A:Det er vanligvis to grunner til at WAN network card ikke er oppe (UP):

  1. Du bruker en tilkobling med feil Internett-tilkobling. Så du må ta en titt på ny på 2.b

Om du har en tilkobling med en adresse tildelt av DHCP, som ikke er statisk. Da må det være en fysisk tilkobling med en nettverkskabel mellom Coyote Linux og nettkontakten.

  1. Du har valgt feil driver-modul for dette network card.

Du bør forsøke å logge inn på Coyote Linux og velge q) quit for å gå ut av Coyote Linux-menyen. Så bør du kjøre kommandoen

dmesg|more

bruk så mellomrom for å bla. Se på referansene til eth0 og eth1. Se på Forskjellige navn på network card-ene for en påminnelse om hva eth0 og eth1 betyr. Det er vanligvis en indikator for hva problemet er.

Q:Vi har satt opp brannmurer med mange forskjellige nettverkskort og driver-moduler for mange network card. Vi har til gode å finne noe som ikke virker riktig.

A:Har du sett på dette nettstedet for mer informasjon om network card og passende driver-moduler for Coyote Linux? [http://www.dalantech.com/ http://www.dalantech.com]

Verification

Brannmuren virker om du kommer ut på Internett via nettleseren på hovedtjener eller en tilkoblet klient.

Oppdater konfigurasjonsdatabase

Administrasjon av brannmur i nettleser (Coyote)

Brukertilfelle: Vi trenger å endre innstillingene i brannmuren. Brannmuren står innelåst på datarommet. Kan jeg gjøre endringen over nettverket.

Author: Klaus Ade Johnstad.

Medforfatter: Knut Yrvin

Coyote Linux har en pen og et velfungerende administrasjonsverktøy via en nettside. Her kan man gjøre det meste. Skriv [http://10.0.2.1:8180/ http://10.0.2.1:8180] i adressefeltet til nettleseren. Adressen vil gi vev-administrasjon av Coyote Linux. Klikk på lenken, og skriv brukernavnet root og passordet du har laget for brannmuren.

Coyote Linux vev-administrasjon

Alle valg og innstillinger kan gjøres i Main Menu på venstresiden.

Coyote Linux hovedmeny

Å velge denne gir status for network card-er, IP-adressene som er på plass, oppetid til Coyote Linux, lst og lignende.

Her har du mulighet til å endre oppsettet til LAN network card. Det er denne som går til Skolelinux/Debian-edu-nettet. Behold verdiene som de er. Viser til A.

Varsel: Ikke gjør endringer her! Å gjøre det kan redusere ytelsen til Skolelinux/Debian-edu-nettet

< FIXME: Bør vise inneholdet av change_ip_setup her, senere>

Her har man muligheten til å endre veridene i WAN network card til det som går til Internett. Har du fått en ny Internett-leverandør, eller endrer dynamisk IP med DHCP til fast IP-adresse, så er dette stedet å endre informasjonen uten behov av å lage ny Coyote Linux-floppy fra bunnen av. Se 2.b

Dette gir muligheten til å sette opp DHCP-tjener som en del av Coyote Linux

Her kan man skru på og av tjenester som navnetjener (DNS), ssh og vev-admin.

Her kan man endre og skru på port forwarding i Coyote Linux. Dette er en kjekk funksjon i et Skolelinux/Debian-edu-nett. Siden Coyote Linux stopper og blokkerer de fleste tilkoblinger som f.eks. ssh, er det kjekt å bruke port forwarding. Dette er en måte å slippe ssh-tilknytninger gjennom Coyote Linux til et Skolelinux/Debian-edu-nettverk.

Bruk denne regelen for port forwarding

<pre> Yes TCP Any 22 10.0.2.2 22 No SSH straight into Mainserver</pre> alle ssh-tilkytninger som kommer til Coyote Linux vil bli videresendt til Skolelinux/Debian-edu hovedtjener. Du må bestemme om dette er ønsket.

Her kan man sette opp og stille inn brannmurregler i Coyote Linux. Det er mange regler som er klar til bruk, og kan brukes som eksempel.

Her kan man sette opp begrensninger på nettkapasiteten

Her kan man endre root-passordet Coyote Linux, også kjent som system-passordet. Dette er på samme måte som å bruke kommandolinja Seksjon 3.6.

Dette er filer som inneholder alle innstillinger.

Her finner man nyttige verktøy som ping, testing av porter (gateway), testing av navnetjener (DNS), og status for nettverket.

Er det gjort endringer Coyote Linux disse lagres på disketten. Ved å velge Main Menu i Coyote Linux så kan man velge å lagre oppsettet. Alternativet er at alle endringer går tapt ved omstart av Coyote Linux.

Når man trenger å starte Coyote Linux på nytt kan dette gjøres fra «Main Menu». Når man velger omstart må dette bekreftes.

Omstart eller skru av Coyote Linux?

Unntakshåndtering

Verification

Oppdater konfigurasjonsdatabase

Brannmur som DHCP-tjener (Coyote)

Brukertifelle: Ønsker å sette opp en god DHCP-tjener med høy stabilitet uavhengig av operativsystem i nettverket. Varsel: vanlig DHCP-tjener i et ikke-Skolelinux/Debian-edu-nettverk

Author: Klaus Ade Johnstad.

Coyote Linux er en god løsning om man bare trenger en DHCP-tjener på nettverket uavhengig av hva slags maskiner som brukes, være seg Linux, Windows eller Mac.

Den eneste tingen som må konfigureres anderledes, er å skru på DHCP-tjeneren. < FIXME: lag lenke til skjermbilde>

En kort oppsummering om å gjøre om Coyote Linux til DHCP-tjener:

Coyote Linux som en standard DHCP-tjener

<pre>Configuring system for Ethernet based Internet connection

By default, Coyote uses the following settings for the local network interface:

IP Address: 192.168.0.1 Netmask: 255.255.255.0 Broadcast: 192.168.0.255 Network: 192.168.0.0

Would you like to change these settings? [Y/N]: n</pre> så bør du bruke adressen 192.168.0.1 i steden for 10.0.2.1 når man logger inn på Coyote Linuxs vev-administrasjon. Se Seksjon 3.7 og

Ny adresse i dette tilfellet er:

Verification

Oppdater konfigurasjonsdatabase

Coyote brannmur og Internett-operatører

Brukertilfelle: Vi har en brannmur med Coyote Linux. Lar den seg koble til vår Internett-leverandør?

Author: Klaus Ade Johnstad.

Notat: Det har enda ikke vært en situasjon hvor Coyote ikke virker mot Internett-leverandører i Norge. Fortell oss om du har erfart problemer med en.

Dette er en liste med Internett-tilbydere som fungerer godt med Coyote Linux

Grunnet anderledes nettverkspolitikk på Utdanningsetaten i Oslo man gjøre følgende endringer på hovedtjeneren:

Endre følgende i filen <code>/etc/bind/named.conf</code> [5]

<pre> // forwarders {

endre dette til

<pre> forwarders {

Det betyr å fjerne kommentator-merker (#) foran «forwarders».

Gjør du ikke dette vil man ikke være i stand til å koble utstyret til Internett som skyldes problemer med navnetjeneren (DNS) hos Utdanningsetaten i Oslo. Driftspersonalet vil også engasjere flere til å få dette endret til slik etaten vil ha det.

Etter endringene er lagt inn i <code>/etc/bind/named.conf</code> må man omstarte bind med /etc/init.d/bind9 restart

Her må man gjøre samme bind-endringer som for Utdanningsetaten i Oslo.

Unntakshåndtering

Verification

Oppdater konfigurasjonsdatabase

Støtte for nettverkskort i brannmuren

Brukertilfelle: Er de to nettverkskortene vi har i maskinen støttet av Coyote?

Author: Klaus Ade Johnstad.

Dette er en liste med moduler som følger med Coyote Linux. Alle driver-moduler for network carder er listet opp.

<pre>tjener:~/coyote# ls data/kernel/drivers/ 3c501.o eth16i.o ne.o 3c503.o ewrk3.o ni5010.o 3c505.o fealnx.o ni52.o 3c507.o forcedeth.o ni65.o 3c509.o hp100.o pcnet32.o 3c515.o hp.o ppp_async.o 3c59x.o hp-plus.o ppp_deflate.o 8139cp.o ip_conntrack_amanda.o ppp_generic.o 8139too.o ip_conntrack_egg.o pppoe.o 82596.o ip_conntrack_ftp.o pppox.o 8390.o ip_conntrack_h323.o ppp_synctty.o ac3200.o ip_conntrack_irc.o sch_htb.o amd8111e.o ip_conntrack_mms.o sch_ingress.o at1700.o ip_conntrack_quake3.o sch_sfq.o b44.o ip_conntrack_rtsp.o sis900.o bridge.o ip_conntrack_tftp.o slhc.o bsd_comp.o ip_nat_amanda.o smc9194.o cls_fw.o ip_nat_cuseeme.o smc-ultra.o cls_u32.o ip_nat_ftp.o softdog.o cs89x0.o ip_nat_h323.o starfire.o de4x5.o ip_nat_irc.o sundance.o depca.o ip_nat_mms.o tlan.o dgrs.o ip_nat_quake3.o tulip.o dmfe.o ip_nat_rtsp.o typhoon.o e100.o ip_nat_tftp.o via-rhine.o e2100.o lance.o wd.o eepro100.o lp486e.o winbond-840.o eepro.o mii.o zlib_deflate.o eexpress.o natsemi.o zlib_inflate.o epic100.o ne2k-pci.o</pre>

Unntakshåndtering

Verification

Oppdater konfigurasjonsdatabase

Particularly old network cards in the firewall (ISA)

Use case: We want to try to use some network cards in the firewall that is almost 20 years old. They are using the so called ISA bus. Is this possible?

Author: Klaus Ade Johnstad.

Medforfatter: Knut Yrvin

Nettverkskot med typebetegnelsen 3c509 fra 3Com har vært en svært populær serie. Flere har Coyote Linux med slike nettverkskort produsert i f.eks. 1989, snart 20 år siden. Vi har kjørt disse kortene i tre år med Coyote brannmur uten problemer. Straks man har fått kortene opp å kjøre, vil de sannsynligvis kjøre i lang tid. Men det er noen ganger vanskelig å få kortene til å virke. Dette er fordi de har ISA-buss. Det betyr at viktige adresser (IO) og avbruddsmeldinger (IRQ) må håndteres manuelt. Dette gjøres helt automatisk med PCI-kort. Men bruker man ISA-kort krever det ekstra innsats. IO og IRQ på disse kortene kan håndteres av et gammelt DOS-program. Dette kan være litt vanskelig å få tak i, siden dette er nesten 20 år gammel programvare.

DOS-programmet for oppsett kalles <code>3c5x9cfg.exe</code>, og det brukes på følgende måte:

  1. Start the machine with DOS. One can use FreeDOS or a boot floppy created with Windows 95 or 98.
  2. Straks maskinen er startet med DOS, sett inn en diskett med programmet <code>3c5x9cfg.exe</code>. Kjør programmet 3c5x9cfg.exe fra kommandolinja i DOS.

  3. Straks 3c5x9cfg.exe er startet, så kan hver av 3c509 network cardene settes opp med valget «auto»

<code>3c5x9cfg.exe</code> finner man hos Ruprecht-Karls-Universität Heidelberg: [http://www.urz.uni-heidelberg.de/Netzdienste/nm/misc/3comnic/ ]

FreeDOS can be found on: [http://www.freedos.org/ ]

Unntakshåndtering

Varsel: Flere rapporter viser at det er problemer med å bruke to 3c509-kort på samme maskin om ett av kortene er av combo-typen. Det er en korttype med forskjellige typer nettverkskontakter.

Do not use combo type ISA bus cards!

Verification

Oppdater konfigurasjonsdatabase

Nyttige linker om brannmuren Coyote

Brukertilfelle: Jeg har ikke fått nok hjelp om bruk av brannmuren på disse sidene. Hvor får jeg mere hjelp?

Author: Klaus Ade Johnstad.

Medforfatter: Knut Yrvin

Unntakshåndtering

Verification

Oppdater konfigurasjonsdatabase

Config:

Brukertilfelle: Hva ønskes konfigurert

Solution

Unntakshåndtering

Verification

Oppdater konfigurasjonsdatabase