Moin.
Ich versuche hier krampfhaft mein internes LAN zu routen/maskieren.
eth0 - Interface ins Internet
Die Chains INPUT,OUTPUT,FORWARD sind auf ACCEPT
echo 1 > /proc/sys/net/ip_forward iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
Das müßte es eigentlich schon sein. Funktioniert aber trotzdem nicht.
Warum?!
Carsten
am Fri, dem 21.05.2004, um 19:35:58 +0200 mailte Carsten Friede folgendes:
Moin.
Ich versuche hier krampfhaft mein internes LAN zu routen/maskieren.
eth0 - Interface ins Internet
Die Chains INPUT,OUTPUT,FORWARD sind auf ACCEPT
echo 1 > /proc/sys/net/ip_forward iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
Das müßte es eigentlich schon sein. Funktioniert aber trotzdem nicht.
Warum?!
Poste mal die Ausagen von "iptables-save -c"
Andreas
Andreas Kretschmer wrote:
echo 1 > /proc/sys/net/ip_forward iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
Das müßte es eigentlich schon sein. Funktioniert aber trotzdem nicht.
Poste mal die Ausagen von "iptables-save -c"
*nat :PREROUTING ACCEPT [2218:389039] :POSTROUTING ACCEPT [24:1705] :OUTPUT ACCEPT [24:1705] [0:0] -A POSTROUTING -s 192.168.0.0/255.255.255.0 -j MASQUERADE COMMIT *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] COMMIT
Und was sagt mir das?
Carsten
Carsten Friede wrote:
Andreas Kretschmer wrote:
echo 1 > /proc/sys/net/ip_forward iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
Das müßte es eigentlich schon sein. Funktioniert aber trotzdem nicht.
Anscheinend geht das jetzt. Welche Einstellung muss ich auf Clientseite für den DNS machen? Das haut noch nicht hin.
Carsten
am Sat, dem 22.05.2004, um 0:49:34 +0200 mailte Carsten Friede folgendes:
Carsten Friede wrote:
Andreas Kretschmer wrote:
echo 1 > /proc/sys/net/ip_forward iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
Das müßte es eigentlich schon sein. Funktioniert aber trotzdem nicht.
Anscheinend geht das jetzt. Welche Einstellung muss ich auf Clientseite für den DNS machen? Das haut noch nicht hin.
Entweder den vom Provider oder du tust auf den Router dnsmasq drauf, gibts als gleichnamiges Debian-Paket und ist ein DNS-Proxy/Forwarder, der auch eine lokale /etc/hosts auswerten kann. Nett. Dann halt den Router als DNS angeben.
Andreas
Andreas Kretschmer wrote:
Entweder den vom Provider oder du tust auf den Router dnsmasq drauf, gibts als gleichnamiges Debian-Paket und ist ein DNS-Proxy/Forwarder, der auch eine lokale /etc/hosts auswerten kann. Nett. Dann halt den Router als DNS angeben.
Vielen Dank. Das klappt jetzt. Endlich!
Carsten
Moin.
Ich dachte, ich hätte das alles oweit in den Griff gekriegt, allerdings stellt sich jetzt heraus, daß dem doch nicht so ist. Das Masquerading selbst funktioniert, nur wenn ich meine Default-Policy der FORWARD-Chain auf DROP setze war's das. Nun frag' ich mich, warum die Regeln, in die FORWARD-Chain verzweigt nicht angewandt werden. Oder anders, warum kommen keine Antwortpakete durch?
Um die Sache zu vereinfachen, habe ich mal mein Skript angehangen.
Carsten
am Sat, dem 22.05.2004, um 13:42:31 +0200 mailte Carsten Friede folgendes:
stellt sich jetzt heraus, daß dem doch nicht so ist. Das Masquerading selbst funktioniert, nur wenn ich meine Default-Policy der FORWARD-Chain auf DROP setze war's das. Nun frag' ich mich, warum die Regeln, in die FORWARD-Chain verzweigt nicht angewandt werden. Oder anders, warum kommen keine Antwortpakete durch?
Um die Sache zu vereinfachen, habe ich mal mein Skript angehangen.
Ich bin jetzt echt zu faul, das zu verdauen, mir fiel nur auf:
$IPT -A states -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -A states -m state --state NEW,INVALID -j LOG --log-prefix "Connection not permitted" $IPT -A states -m state --state NEW,INVALID -j DROP
Zum Verbindungsaufbau ist das erste Paket NEW. Du solltest also prüfen, was Du warum wegwirfst. Das sind i.d.R. die Ports der Dienste, die erlaubt sind.
Noch was: DROP ist ungeschickt, REJECT besser.
Andreas
am Sat, dem 22.05.2004, um 0:44:48 +0200 mailte Carsten Friede folgendes:
Poste mal die Ausagen von "iptables-save -c"
Und was sagt mir das?
Nicht viel, nur soviel, daß es daran nicht lag ;-)
Andreas
lug-dd@mailman.schlittermann.de
-
Andreas Kretschmer -
Carsten Friede