Moin!
Ich habe mich mal dahingehend beschäftigt, meiner Netzwerkkarte eine zweite IP beizubringen. Das Ding läuft jetzt unter eth0:1 einwandfrei. Nur muß ich, um es nutzen zu können, meinen Paketfilter(ipchains) ausschalten. Die Einträge, daß Pakete aus dem Netz 192.168.0.0 durchzulassen sind, zeigt keine Wirkung. Ich kann auch nicht "eth0:1" als Eingabe für den Interface-Parameter übergeben. Also das Device bei mir weiterhin "eth0". Wie kriege ich also den Paketfilter dazu, auch die Pakete aus 192.168.0.0 über eth0:1 durchzulassen?
MfG
Carsten
On Mon, Jun 09, 2003 at 04:06:14PM +0200, Carsten Friede wrote:
Moin!
Ich habe mich mal dahingehend beschäftigt, meiner Netzwerkkarte eine zweite IP beizubringen. Das Ding läuft jetzt unter eth0:1 einwandfrei. Nur muß ich, um es nutzen zu können, meinen Paketfilter(ipchains) ausschalten. Die Einträge, daß Pakete aus dem Netz 192.168.0.0 durchzulassen sind, zeigt keine Wirkung. Ich kann auch nicht "eth0:1" als Eingabe für den Interface-Parameter übergeben. Also das Device bei mir weiterhin "eth0". Wie kriege ich also den Paketfilter dazu, auch die Pakete aus 192.168.0.0 über eth0:1 durchzulassen?
Mal langsam (hab zwar wenig Schimmer woran es liegen koennte, aber die Beantwortung der folgenden Fragen ist vielleicht hilfreich):
- Deine Netzwerkkarte hat zwei IP-Addressen, die da waeren? - Mit Durchlassen meinst du nur auf den Rechner durchlassen oder auch routen? - Mit dem iptables-Eintrag werden alle Pakete fuer eth0:0 durchgelassen, aber die fuer eth0:1 nicht?
Denkbar waere vielleicht, dass beim Abarbeiten der Regeln der Programmierer nicht an eine zweite ip gedacht hat. BTW: Aus persoenlichem Interesse: Wofuer ist die Sache mit den 2 ip's eigentlich gut?
MfG
Carsten
Ulf
On Mon, Jun 09, 2003 at 04:06:14PM +0200, Carsten Friede wrote:
Moin!
Ich habe mich mal dahingehend beschäftigt, meiner Netzwerkkarte eine zweite IP beizubringen. Das Ding läuft jetzt unter eth0:1 einwandfrei. Nur muß ich, um es nutzen zu können, meinen Paketfilter(ipchains) ausschalten. Die Einträge, daß Pakete aus dem Netz 192.168.0.0 durchzulassen sind, zeigt keine Wirkung. Ich kann auch nicht "eth0:1" als Eingabe für den Interface-Parameter übergeben. Also das Device bei mir weiterhin "eth0". Wie kriege ich also den Paketfilter dazu, auch die Pakete aus 192.168.0.0 über eth0:1 durchzulassen?
Mal langsam (hab zwar wenig Schimmer woran es liegen koennte, aber die Beantwortung der folgenden Fragen ist vielleicht hilfreich):
- Deine Netzwerkkarte hat zwei IP-Addressen, die da waeren?
eth0 hat 141.30.xxx.xxx und eth0:1 hat die 192.168.0.1
- Mit Durchlassen meinst du nur auf den Rechner durchlassen oder auch
routen?
Erstmal sollen die Pakete aus 192.168.0.0 über eth0:1 nur durchgelassen werden. Routing kann ich immer noch machen.
- Mit dem iptables-Eintrag werden alle Pakete fuer eth0:0
durchgelassen, aber die fuer eth0:1 nicht?
Nein, anscheinend wird nur eth0 behandelt. Wenn ich von eth0:1 ins 192.168.0.0 pingen will, dann wird mir gesagt, daß diese Operation nicht erlaubt ist. Außerdem verwende ich noch ipchains.
Denkbar waere vielleicht, dass beim Abarbeiten der Regeln der Programmierer nicht an eine zweite ip gedacht hat. BTW: Aus persoenlichem Interesse: Wofuer ist die Sache mit den 2 ip's eigentlich gut?
Der Grund ist ganz einfach, ich habe einfach kein Geld für eine zweite Netzwerkkarte (PCMCIA, da an Notebook betrieben) MfG
Carsten
On Mon, Jun 09, 2003 at 04:06:14PM +0200, Carsten Friede wrote:
Moin!
Ich habe mich mal dahingehend beschäftigt, meiner Netzwerkkarte eine zweite IP beizubringen. Das Ding läuft jetzt unter eth0:1 einwandfrei. Nur muß ich, um es nutzen zu können, meinen Paketfilter(ipchains) ausschalten. Die Einträge, daß Pakete aus dem Netz 192.168.0.0
Interessant wäre, was in Deinem Filter drinsteht.
durchzulassen sind, zeigt keine Wirkung. Ich kann auch nicht "eth0:1" als Eingabe für den Interface-Parameter übergeben. Also das Device bei mir weiterhin "eth0". Wie kriege ich also den Paketfilter dazu, auch die Pakete aus 192.168.0.0 über eth0:1 durchzulassen?
'durch' oder 'rein'?
ipchains -A INPUT -i eth0 -s 192.168.0.0/24 -j ACCEPT .. und für's Forwarden dann notfalls auch noch eine.
(Bin mir syntaktisch nicht sehr sicher, da ich iptables nutze und.) Und: bei iptables ist das 'physische' Interface entscheidend (m.W.), ob's bei ipchains auch so war/ist, weiß ich nicht.
Best regards from Dresden Viele Gruesse aus Dresden Heiko Schlittermann
Heiko Schlittermann schrieb:
On Mon, Jun 09, 2003 at 04:06:14PM +0200, Carsten Friede wrote:
Moin!
Ich habe mich mal dahingehend beschäftigt, meiner Netzwerkkarte eine zweite IP beizubringen. Das Ding läuft jetzt unter eth0:1 einwandfrei. Nur muß ich, um es nutzen zu können, meinen Paketfilter(ipchains) ausschalten. Die Einträge, daß Pakete aus dem Netz 192.168.0.0
Interessant wäre, was in Deinem Filter drinsteht.
Da steht nur drin, das sämtliche Replies auf Pings reinglassen und nur der Request rausgelassen wird. Ansonsten sind die Dienst in der Art freigegeben, das nur bereits bestehende Verbindungen reingelassen werden (kein SYN-Bit gesetzt) und Verbindungsanfragen rausgelassen werden.
durchzulassen sind, zeigt keine Wirkung. Ich kann auch nicht "eth0:1" als Eingabe für den Interface-Parameter übergeben. Also das Device bei mir weiterhin "eth0". Wie kriege ich also den Paketfilter dazu, auch die Pakete aus 192.168.0.0 über eth0:1 durchzulassen?
'durch' oder 'rein'?
Es sollen Verbindungen aus und ins Netz 192.168.0.0 gehen. Kein. Routing. Nach außen hin gibt es nur die statische IP und das war's auch schon. Kein Masquerading oder dergleichen. Ich will an einem Interface Zugriff auf zwei Netze haben, wobei im inneren Netz alle Dienste erlaubt sind zum Internet nur spezielle Dienste (www, ftp, smtp, pop3, dns) gehen sollen.
ipchains -A INPUT -i eth0 -s 192.168.0.0/24 -j ACCEPT .. und für's Forwarden dann notfalls auch noch eine.
Genau so hab' ich das eingetragen, und es tut sich nichts. In der FORWARD Chain steht gar nichts drin, da die Policy auf ACCEPT steht. Syntaktisch ist diese Zeile korrekt, das kann ich soweit bestätigen. Ich habe jedoch keine Ahnung, warum ich bspw. nicht rauspingemn
MfG
Carsten
Hi Carsten,
On Mon, Jun 09, 2003 at 16:06:14 +0200, Carsten Friede wrote:
Ich habe mich mal dahingehend beschäftigt, meiner Netzwerkkarte eine zweite IP beizubringen. Das Ding läuft jetzt unter eth0:1 einwandfrei. Nur muß ich, um es nutzen zu können, meinen Paketfilter(ipchains)
AFAIK kann der Paketfilter nicht mit IP-Aliases umgehen. Zumindest wird eth0:1 nicht als separates Interface gesehen.
bye, Chris
Christian Perle schrieb:
Hi Carsten,
On Mon, Jun 09, 2003 at 16:06:14 +0200, Carsten Friede wrote:
Ich habe mich mal dahingehend beschäftigt, meiner Netzwerkkarte eine zweite IP beizubringen. Das Ding läuft jetzt unter eth0:1 einwandfrei. Nur muß ich, um es nutzen zu können, meinen Paketfilter(ipchains)
AFAIK kann der Paketfilter nicht mit IP-Aliases umgehen. Zumindest wird eth0:1 nicht als separates Interface gesehen.
Stimmt, habe ich auch gerade in Erfahrung gebracht. Kann IPTables wenigstens mit Aliases umgehen?
MfG
Carsten
lug-dd@mailman.schlittermann.de
-
Carsten Friede -
cfriede@wh12.tu-dresden.de
-
Christian Perle -
Heiko Schlittermann -
Ulf Lorenz