Dante Server: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
 
(5 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
=Installation=
+
= Installation =
*apt install dante-server
+
* <code>apt install dante-server</code>
=Config=
+
 
*vi /etc/danted.conf
+
= Konfiguration =
 +
* <code>vi /etc/danted.conf</code>
 
<pre>
 
<pre>
 
logoutput: syslog
 
logoutput: syslog
# Wo lauscht der Socks Server
 
 
internal: 0.0.0.0 port = 1080
 
internal: 0.0.0.0 port = 1080
#  Ausgehende Schnittstelle
 
 
external: enp0s3
 
external: enp0s3
# Keine Authentifizierung
 
 
clientmethod: none
 
clientmethod: none
#acceptable authentication methods
 
 
socksmethod: none
 
socksmethod: none
# Lokale Ports unter 1024 brauchen Root Rechte
 
 
user.privileged: root
 
user.privileged: root
# Lokale Ports über 1024 brauchen keine Root Rechte
 
 
user.notprivileged: nobody
 
user.notprivileged: nobody
  
#Clients die sich verbinden können
+
client pass {
#Die Clientzugriffsregeln steuern den Zugriff auf den SOCKS-Server
+
        from: 172.17.2xx.0/24 to: 0.0.0.0/0
#Damit kann man die Maschinen einschränken, die sich auf der internen Seite verbinden könn
+
        log: error connect disconnect
 
+
}
  
 
client pass {
 
client pass {
         from: 192.168.0.0/16 to: 0.0.0.0/0
+
         from: 172.16.2xx.0/24 to: 0.0.0.0/0
 
         log: error connect disconnect
 
         log: error connect disconnect
 
}
 
}
  
 
client pass {
 
client pass {
         from: 10.88.0.0/16 to: 0.0.0.0/0
+
         from: 10.88.2xx.0/24 to: 0.0.0.0/0
 
         log: error connect disconnect
 
         log: error connect disconnect
 
}
 
}
  
#Alle anderen Clients nicht
 
 
 
#Die SOCKS-Befehlsregeln steuern den Zugriff über in.
 
#und wie sie mit den externen Maschinen kommunizieren können.
 
 
socks pass {
 
socks pass {
 
         from: 0.0.0.0/0 to: 0.0.0.0/0
 
         from: 0.0.0.0/0 to: 0.0.0.0/0
 
         log: error connect disconnect
 
         log: error connect disconnect
 
}
 
}
 +
</pre>
 +
 +
== Dante-Konfigurationsoptionen ==
 +
{| class="wikitable"
 +
! Direktive || Bedeutung
 +
|-
 +
| <code>logoutput: syslog</code> || Protokollausgabe an das System-Log (z. B. /var/log/syslog)
 +
|-
 +
| <code>internal: 0.0.0.0 port = 1080</code> || Lauscht auf allen Schnittstellen (IPv4) am Port 1080 für eingehende Verbindungen
 +
|-
 +
| <code>external: enp0s3</code> || Ausgehende Netzwerkschnittstelle für weitergeleitete Verbindungen
 +
|-
 +
| <code>clientmethod: none</code> || Keine Authentifizierung auf der Clientseite
 +
|-
 +
| <code>socksmethod: none</code> || Keine Authentifizierung beim Weiterleiten von SOCKS-Verbindungen
 +
|-
 +
| <code>user.privileged: root</code> || Verbindungen auf Ports unter 1024 benötigen Root-Rechte
 +
|-
 +
| <code>user.notprivileged: nobody</code> || Verbindungen auf Ports über 1024 laufen mit eingeschränkten Rechten (Benutzer "nobody")
 +
|}
 +
 +
== Zugriffskontrolle für Clients ==
 +
{| class="wikitable"
 +
! Regeltyp || Bedeutung
 +
|-
 +
| <code>client pass</code> || Erlaubt Clients aus bestimmten IP-Netzen den Zugriff auf den SOCKS-Server
 +
|}
  
</pre>
+
== Zugriffskontrolle für SOCKS-Datenverkehr ==
 +
{| class="wikitable"
 +
! Regeltyp || Bedeutung
 +
|-
 +
| <code>socks pass</code> || Erlaubt Verbindungen vom internen Client zum externen Ziel (Weiterleitung durch den Proxy)
 +
|}
  
*Die SOCKS-Clientzugriffsregeln steuern den Zugriff auf den SOCKS-Server
+
== Funktionsweise ==
*Während die SOCKS-Befehlsregeln den Zugriff über ihn steuern.
+
* Die SOCKS-Clientzugriffsregeln steuern den Zugriff auf den SOCKS-Server selbst.
*Ersteres kann die Maschinen einschränken, die sich auf der internen Seite verbinden können,
+
* Die SOCKS-Befehlsregeln hingegen regeln den Verkehr, der über den Server geleitet wird.
*Letzteres, wie sie mit den externen Maschinen kommunizieren können.
+
* Clientregeln legen fest, welche internen Rechner sich mit dem Server verbinden dürfen.
*Es wird bei den Zugriffsregeln wird die Regelauswertung für jede Clientanforderung durchgeführt
+
* Befehlsregeln bestimmen, wie diese Clients mit externen Zielen kommunizieren dürfen.
*bis eine Regel übereinstimmt, beginnend mit der ersten Regel.
+
* Bei der Zugriffsprüfung werden die Regeln in der angegebenen Reihenfolge ausgewertet,
 +
* und zwar bis die erste passende Regel gefunden wird.
  
=Staren und Checken=
+
= Starten und Überprüfen =
*systemctl start danted
+
* <code>systemctl start danted</code>
*systemctl status danted
+
* <code>systemctl status danted</code>
*netstat -lntp | grep danted
+
* <code>netstat -lntp | grep danted</code>
tcp        0      0 78.88.77.194:1080      0.0.0.0:*              LISTEN      27027/danted         
+
<pre>
tcp6      0      0 fe80::5054:a2ff:fe:1080 :::*                  LISTEN      27027/danted         
+
tcp        0      0 78.88.77.194:1080      0.0.0.0:*              LISTEN      27027/danted         
tcp6      0      0 2a02:88:c17:2cc5::1080 :::*                    LISTEN      27027/danted
+
tcp6      0      0 fe80::5054:a2ff:fe:1080 :::*                  LISTEN      27027/danted         
 +
tcp6      0      0 2a02:88:c17:2cc5::1080 :::*                    LISTEN      27027/danted       
 +
</pre>
 +
= Loggen =
 +
*journalctl -fu danted

Aktuelle Version vom 1. Juli 2025, 06:57 Uhr

Installation

  • apt install dante-server

Konfiguration

  • vi /etc/danted.conf
logoutput: syslog
internal: 0.0.0.0 port = 1080
external: enp0s3
clientmethod: none
socksmethod: none
user.privileged: root
user.notprivileged: nobody

client pass {
        from: 172.17.2xx.0/24 to: 0.0.0.0/0
        log: error connect disconnect
}

client pass {
        from: 172.16.2xx.0/24 to: 0.0.0.0/0
        log: error connect disconnect
}

client pass {
        from: 10.88.2xx.0/24 to: 0.0.0.0/0
        log: error connect disconnect
}

socks pass {
        from: 0.0.0.0/0 to: 0.0.0.0/0
        log: error connect disconnect
}

Dante-Konfigurationsoptionen

Direktive Bedeutung
logoutput: syslog Protokollausgabe an das System-Log (z. B. /var/log/syslog)
internal: 0.0.0.0 port = 1080 Lauscht auf allen Schnittstellen (IPv4) am Port 1080 für eingehende Verbindungen
external: enp0s3 Ausgehende Netzwerkschnittstelle für weitergeleitete Verbindungen
clientmethod: none Keine Authentifizierung auf der Clientseite
socksmethod: none Keine Authentifizierung beim Weiterleiten von SOCKS-Verbindungen
user.privileged: root Verbindungen auf Ports unter 1024 benötigen Root-Rechte
user.notprivileged: nobody Verbindungen auf Ports über 1024 laufen mit eingeschränkten Rechten (Benutzer "nobody")

Zugriffskontrolle für Clients

Regeltyp Bedeutung
client pass Erlaubt Clients aus bestimmten IP-Netzen den Zugriff auf den SOCKS-Server

Zugriffskontrolle für SOCKS-Datenverkehr

Regeltyp Bedeutung
socks pass Erlaubt Verbindungen vom internen Client zum externen Ziel (Weiterleitung durch den Proxy)

Funktionsweise

  • Die SOCKS-Clientzugriffsregeln steuern den Zugriff auf den SOCKS-Server selbst.
  • Die SOCKS-Befehlsregeln hingegen regeln den Verkehr, der über den Server geleitet wird.
  • Clientregeln legen fest, welche internen Rechner sich mit dem Server verbinden dürfen.
  • Befehlsregeln bestimmen, wie diese Clients mit externen Zielen kommunizieren dürfen.
  • Bei der Zugriffsprüfung werden die Regeln in der angegebenen Reihenfolge ausgewertet,
  • und zwar bis die erste passende Regel gefunden wird.

Starten und Überprüfen

  • systemctl start danted
  • systemctl status danted
  • netstat -lntp | grep danted
tcp        0      0 78.88.77.194:1080      0.0.0.0:*               LISTEN      27027/danted        
tcp6       0      0 fe80::5054:a2ff:fe:1080 :::*                   LISTEN      27027/danted        
tcp6       0      0 2a02:88:c17:2cc5::1080 :::*                    LISTEN      27027/danted

Loggen

  • journalctl -fu danted
Abgerufen von „http://wiki.ixheim.de/index.php?title=Dante_Server&oldid=63549