Hallo,
ich habe meinen alten Rechner geplättet und neu installiert, damit er als Server gute Dienste leisten kann. Es funktioniert eigentlich alles recht gut, nur Masquerading/IP-Forwarding mag er noch nicht.
traceroute to 217.12.3.11 (217.12.3.11), 30 hops max, 38 byte packets 1 192.168.0.1 0.332 ms 0.276 ms 0.272 ms 2 * * * ...
Die Routenkonfiguration ist folgendermaßen:
Server (192.168.0.1): Ziel Router Genmask Flags Metric Ref Use Iface 217.5.98.174 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 0.0.0.0 217.5.98.174 0.0.0.0 UG 0 0 0 ppp0
Client (192.168.0.2): Ziel Router Genmask Flags Metric Ref Use Iface 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 0.0.0.0 192.168.0.1 0.0.0.0 UG 0 0 0 eth0
Die Karte eth0 im Server ist die für's interne Netz, und eth1 wird für pppoe verwendet.
In /proc/sys/net/ipv4/ip_forward und ip_dynaddr steht auch jeweils 1 drin. Kernel ist bei beiden 2.4.18.
Zentrale Dienste wie Mail lassen sich ja ganz gut mit Tunneln realisieren, aber bei Webseiten wird das schon ungünstig ;) Wie bring ich dem Server nun also das Routing bei?
Josef Spillner
am Sat, dem 15.06.2002, um 10:29:33 +0200 mailte Josef Spillner folgendes:
Es funktioniert eigentlich alles recht gut, nur Masquerading/IP-Forwarding mag er noch nicht.
In /proc/sys/net/ipv4/ip_forward und ip_dynaddr steht auch jeweils 1 drin. Kernel ist bei beiden 2.4.18.
Das ist schon einmal gut. Was Du nun noch brauchst, ist IP_Masquerade.
Wie bring ich dem Server nun also das Routing bei?
,----[ Auszug ] | $IPT -t nat -A POSTROUTING -s 192.168.1.5 -j MASQUERADE `----
Damit schalte ich z.B. auf Arbeit meinen PC frei für Masquerading. $IPT ist der Pfad zu iptables - damit solltest Du Dich also beschäftigen.
http://netfilter.samba.org ist ein guter Anfang ;-)
Andreas
Hi Andreas,
On Sat, Jun 15, 2002 at 10:44:23 +0200, Andreas Kretschmer wrote:
| $IPT -t nat -A POSTROUTING -s 192.168.1.5 -j MASQUERADE
Ich mache das sogar noch etwas "brutaler" mit
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
bye, Chris
am Sat, dem 15.06.2002, um 14:29:27 +0200 mailte Christian Perle folgendes:
Hi Andreas,
On Sat, Jun 15, 2002 at 10:44:23 +0200, Andreas Kretschmer wrote:
| $IPT -t nat -A POSTROUTING -s 192.168.1.5 -j MASQUERADE
Ich mache das sogar noch etwas "brutaler" mit
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
Das will ich aber nicht, weil dahinter ein ganzen Netz voller doofer Windozen steht... Daher expliziet nur mein Rechner ;-)
Andreas
Christian Perle wrote:
Ich mache das sogar noch etwas "brutaler" mit
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
Wieso brutal? Weil Du es gleich auf das Interface beziehst? Evtl. würde ich noch ein -i eth0 dazusetzen, damit die Pakete von der lokalen Maschine nicht behandelt werden. Das sollte ja nicht nötig sein, ebensowenig die Pakete der DMZ mit öffentlichen IPs sofern vorhanden.
Rico
Hi Rico,
On Tue, Jun 18, 2002 at 11:50:25 +0200, Rico Koerner wrote:
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
Wieso brutal? Weil Du es gleich auf das Interface beziehst?
Weil ich es nicht auf ein internes Netz beschraenke. Es waere ja denkbar, dass am Router mehr als ein internes Netz haengt.
bye, Chris
Christian Perle wrote:
Weil ich es nicht auf ein internes Netz beschraenke. Es waere ja denkbar, dass am Router mehr als ein internes Netz haengt.
Das würd ich eher in den Forwarding-Regeln definiert, aber schließlich führen ja viele Wege nach Rom oder in dem Falle ins Internet. :)
Rico
Am Samstag, 15. Juni 2002 10:44 schrieb Andreas Kretschmer:
,----[ Auszug ]
| $IPT -t nat -A POSTROUTING -s 192.168.1.5 -j MASQUERADE
Danke schön, das hatte ich gesucht. Und dabei hatte ich noch das Masquerading-Simple-HOWTO.gz auf Platte...
Josef Spillner (der sich ziemlich sicher ist, daß sowas bei Linux 2.2 einfacher ging)
am Sat, dem 15.06.2002, um 14:35:59 +0200 mailte Josef Spillner folgendes:
Josef Spillner (der sich ziemlich sicher ist, daß sowas bei Linux 2.2 einfacher ging)
ich kenne ipchains nicht so gut, aber die Systax von iptables ist eigentlich nicht so kompliziert. Die Doku's von Rusty sind eigentlich recht gut. Einfach anfangen...
Andreas
Josef Spillner wrote:
Josef Spillner (der sich ziemlich sicher ist, daß sowas bei Linux 2.2 einfacher ging)
Da bin ich anderer Meinung, die Queues sind bei iptables einfach sinnvoller angeordnet. FORWARD muß nicht erst durch INPUT und OUTPUT. 'Stateful Inspection' ist irgendwie auch viel schoener. :-) Ansonsten hat sich da auch nicht viel verändert.
Rico, der sich einmal ein SuSE-Firewallscript von innen angeschaut hat und nie wieder benutzen wird. Die Howtos waren leichter zu verstehen. ;)
am Tue, dem 18.06.2002, um 11:39:12 +0200 mailte Rico Koerner folgendes:
Rico, der sich einmal ein SuSE-Firewallscript von innen angeschaut hat und nie wieder benutzen wird. Die Howtos waren leichter zu verstehen. ;)
das ist die einstimmige Meinung aller Leute in der de.*.firewall-Newsgroup.
Andreas
lug-dd@mailman.schlittermann.de
-
Andreas Kretschmer -
Andreas Kretschmer -
Christian Perle -
Josef Spillner -
Rico Koerner