Das Gateway ist ein Linux Rechner mit CentOS 5.3 Der Rechner ist mit 10 Mbps über eine Firewall mit den LAN verbunden.

Noch ein paar Informationen für die Konfiguration des Gateways:

Der Kernel des CentOS muß ohne XEN (Virtualisierung) installiert werden. Nach der Installation sollte der Befehl “uname -r” folgendes zeigen: 2.6.18-128.2.1.el5 Die Zahlen können je nach Kernel Version abweichend sein. Es darf nur kein XEN darin erscheinen. Die Firewall von CentOS sollte eingeschaltet bleiben. Vorraussetzung für die Installation, Konfiguration und den späteren Betrieb der Gateway Software ist, dass die benötigten Ports korrekt freigeschaltet sind. Das SELinux muß ausgeschaltet oder auf “warning” gestellt werden.

Beim Überprüfen der Log Dateien hat sich herausgestellt, dass versucht wurde vom Internet auf das Gateway zuzugreifen. Das ist erst einmal nichts Ungewöhnliches für Rechner die an das Internet angeschlossen sind. Schon aus dem Grund muß die Firewall eingeschaltet werden ! Die beste Praxis ist, alle benötigten Standard Ports (die zum Managen des Gateways benötigt werden) auf andere Ports umzustellen (z.B. Statt Port 80 (Http) den Port 8080 benutzen etc.).

Auf dem Gateway darf nur 1 Nameservice (named oder dnsmasq) laufen !

So sollte die Ausgabe des Befehls aussehen (wenn der named läuft):

[root@d-star_gw xxxx]# netstat -anp | grep 53
tcp    0   0 172.16.0.20:53       0.0.0.0:*          LISTEN   29654/named
tcp    0   0 127.0.0.1:53        0.0.0.0:*          LISTEN   29654/named
tcp    0   0 127.0.0.1:953        0.0.0.0:*          LISTEN   29654/named
udp    0   0 172.16.0.20:53       0.0.0.0:*                29654/named
udp    0   0 127.0.0.1:53        0.0.0.0:*                29654/named
udp    0   0 0.0.0.0:5353        0.0.0.0:*                3128/avahi-daemon:
udp    0   0 :::5353           :::*                  3128/avahi-daemon:
unix 3   [ ]     STREAM   VERBUNDEN   28020834 3537/gdm-binary
unix 3   [ ]     STREAM   VERBUNDEN   10934 3539/gdm-rh-securit
unix 2   [ ]     DGRAM          10900 3539/gdm-rh-securit
[root@d-star_gw xxxx]#
 

Am besten testet man dies, indem der named Process abgeschaltet wird (/etc/init.d/named stop). Dann mit dem Befehl “netstat -anp | grep 53)” abfragen, ob auf Port 53 noch ein Dienst läuft. Wenn ja, welcher ? Diesen dann abschalten und den named wieder starten (/etc/init.d/named start).