Re: [PUG] Re: woody als Router
Quoting Patrick Schroeder [EMAIL PROTECTED]: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On Montag, 11. August 2003 16:12, Tobias Kaefer wrote: Die einfachsten (und sehr unsicheren) iptables-Regeln für Masq. lautet: iptables -A INPUT -ACCEPT iptables -A FORWARD -ACCEPT iptables -A OUTPUT -ACCEPT iptables -A POSTROUTING -t nat -s $localnet -d '!' $localnet -j MASQUERADE also eigentlich hat masquerade nichts mit input und output zu tun, sondern nur Danke für die Belehrung! Das weiss ich auch PUG - Penguin User Group Wiesbaden - http://www.pug.org
RE: [PUG] Re: woody als Router
Hi, Das mit den Links geht viel bequemer :-) update-rc.d dienst_zum_starten default Vor zwei Tagen endeckt, also ich mich darüber aufregte, das es doch unter gentoo so easy geht ;-) Cu denny -Original Message- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Matthias Firner Runlevelvezeichnis /etc/rcNummer.d noch einen passenden Link auf dieses Skript setzen, in meinem Fall sind das die Links /etc/rc2.d/S21iptables - /etc/init.d/iptables /etc/rc3.d/S21iptables - /etc/init.d/iptables PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Re: woody als Router
2 x Nein! Firewall ist nicht aktiviert. Ich wollte das Ganze erst mal prinzipiell zum Laufen bringen, bevor ich es absichere. Masquerading habe ich nicht aktiviert (zumindest nicht bewuÃt, wüÃte aus dem Stegreif auch gar nicht wie). Lediglich IP-Forwarding habe ich eingeschaltet. Wenn Du von einem Rechner in Deinem LAN (also davidson) auf einen Server im Internet zugreifen willst brauchst Du Masquerading. Die einfachsten (und sehr unsicheren) iptables-Regeln für Masq. lautet: iptables -A INPUT -ACCEPT iptables -A FORWARD -ACCEPT iptables -A OUTPUT -ACCEPT iptables -A POSTROUTING -t nat -s $localnet -d '!' $localnet -j MASQUERADE Diese Regeln bitt nur zum testen verwenden. Du solltest Dich mit den iptables befassen und Dir Deine eigene Firewall zusammenstellen. Ich würde Dir auch gerne meine aktuellen Regeln zukommen lassen, aber bei derzeit ca. 450 Zeilen ist das wohl für den Anfang ein wenig zu viel. Hier ist die Ausgabe von netstat -rn auf dem Arbeitsplatz-Rechner (davidson): .. Hier ist die Ausgabe des Router-Rechners (harley) vor der Verbindung: .. Und so sieht sie auf dem Router-Rechner aus, wenn die Verbidnung ins Internet besteht (Einwahl bei Arcor): .. Das sieht so weit gut aus! Hier ist jetzt noch die Ausgabe von tcpdump -n -t -q auf dem Arbeitsplatz-Rechner, wenn ich ping www.debian.org eingebe: arp who-has 192.168.10.1 tell 192.168.10.3 arp reply 192.168.10.1 is-at 0:0:e8:55:97:a8 192.168.10.3.32768 145.253.2.75.53: udp 32 (DF) 192.168.10.3.32768 145.253.2.75.53: udp 32 (DF) 192.168.10.3.32768 145.253.2.75.53: udp 45 (DF) 192.168.10.3.32768 145.253.2.75.53: udp 45 (DF) Hier wird die IP-Adresse der ISDN-Verbindung angepingt, oder? Du benutzt Arcor zur Einwahl, wenn ich richtig liege. Tobi PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Re: woody als Router
Hallo Markus, Du solltest Dir mal das Konzept von System V Init ansehen. Die autoexec.bat von Linux ist nämlich über diverse Verzeichnisse, und Skripte verteilt. Markus Hasenbein wrote: Wo gebe ich denn bei woody an, daß das Scripts augeführt werden soll? Ganz einfache Lösung: Du pakst ein Skript namens iptables in /etc/init.d Da stehen nämlich alle Skripte drin, die irgendwie beim booten oder beim Wechseln des Runlevels gebraucht werden könnten. Und damit das auch noch ausgeführt wird, mußt Du im passenden Runlevelvezeichnis /etc/rcNummer.d noch einen passenden Link auf dieses Skript setzen, in meinem Fall sind das die Links /etc/rc2.d/S21iptables - /etc/init.d/iptables /etc/rc3.d/S21iptables - /etc/init.d/iptables Allerdings hat Debian da ein eigenes Skript namens iptables, welches so richtig mit 'start' 'stop' und 'restart' Parametern umgehen kann und die iptables Konfiguration (sogar mehrere) irgendwo speichert und beim booten wieder lädt. Wenn Du also bereits ein iptables-Skript in /etc/init.d/ hast, dann lies einfach mal /etc/defaults/iptables durch, da ist das erklärt. Gruß, Matthias. PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Re: woody als Router
Die einfachsten (und sehr unsicheren) iptables-Regeln für Masq. lautet: iptables -A INPUT -ACCEPT iptables -A FORWARD -ACCEPT iptables -A OUTPUT -ACCEPT iptables -A POSTROUTING -t nat -s $localnet -d '!' $localnet -j MASQUERADE Diese Regeln bitt nur zum testen verwenden. Du solltest Dich mit den iptables befassen und Dir Deine eigene Firewall zusammenstellen. Hallo nochmal, ich nehme an, daß ich die iptables-Befehle am besten in ein Script packe, das dann beim Starten des Rechners optimalerweise automatisch ausgeführt wird. Wo gebe ich denn bei woody an, daß das Scripts augeführt werden soll? Gibt es da so etwas wie eine autoexec.bat und DOS? Bei SuSE gibt es eine boot.local-Datei, wo ich es eintragen könnte. Das ist aber wieder SuSE-typisch so weit ich informiert bin. cu! Markus PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Re: woody als Router
Jochen Hein wrote: [EMAIL PROTECTED] writes: Die ISDN-Verbindung on demand klappt, IP-Forwarding ist eingeschaltet (in /etc/network/options), aber auf dem PC von dem aus ich ber den Router ins Internet will, kommen keine Daten an. Machst Du Masquerading? Firewalling? Was sagen die Logs derselben? Was sagt ein tcpdump auf allen drei beteiligten Rechnern? 2 x Nein! Firewall ist nicht aktiviert. Ich wollte das Ganze erst mal prinzipiell zum Laufen bringen, bevor ich es absichere. Masquerading habe ich nicht aktiviert (zumindest nicht bewut, wte aus dem Stegreif auch gar nicht wie). Lediglich IP-Forwarding habe ich eingeschaltet. Die Routing Tabellen sollten stimmen, denn die habe ich von einer frheren funktionierenden Konfiguration mit SuSE bernommen. Sicher? Mal einmal ein Bild und zeige die Tabellen (netstat -rn) her. +++-+ | Arbeitsplatz || Router | ISDN | 192.168.10.3 | | 192.168.10.1| --- Internet | Name: davidson || Name: harley| +++-+ Hier ist die Ausgabe von netstat -rn auf dem Arbeitsplatz-Rechner (davidson): Kernel IP routing table Destination Gateway Genmask Flags MSS Window irtt Iface 192.168.10.00.0.0.0 255.255.255.0 U40 0 0 eth0 0.0.0.0 192.168.10.10.0.0.0 UG 40 0 0 eth0 Hier ist die Ausgabe des Router-Rechners (harley) vor der Verbindung: Kernel IP routing table Destination Gateway Genmask Flags MSS Window irtt Iface 10.0.0.20.0.0.0 255.255.255.255 UH 40 0 0 ippp0 192.168.10.00.0.0.0 255.255.255.0 U40 0 0 eth0 0.0.0.0 0.0.0.0 0.0.0.0 U40 0 0 ippp0 Und so sieht sie auf dem Router-Rechner aus, wenn die Verbidnung ins Internet besteht (Einwahl bei Arcor): Kernel IP routing table Destination Gateway Genmask Flags MSS Window irtt Iface 145.253.1.247 0.0.0.0 255.255.255.255 UH 40 0 0 ippp0 192.168.10.00.0.0.0 255.255.255.0 U40 0 0 eth0 0.0.0.0 0.0.0.0 0.0.0.0 U40 0 0 ippp0 Hier ist jetzt noch die Ausgabe von tcpdump -n -t -q auf dem Arbeitsplatz-Rechner, wenn ich ping www.debian.org eingebe: arp who-has 192.168.10.1 tell 192.168.10.3 arp reply 192.168.10.1 is-at 0:0:e8:55:97:a8 192.168.10.3.32768 145.253.2.75.53: udp 32 (DF) 192.168.10.3.32768 145.253.2.75.53: udp 32 (DF) 192.168.10.3.32768 145.253.2.75.53: udp 45 (DF) 192.168.10.3.32768 145.253.2.75.53: udp 45 (DF) Nach Beendigug von tcpdump erhalte ich folgende Zusdammenfassung: 6 packets received by filter 0 packets dropped by kernel Htte ich tcpdump mit anderen Parametern aufrufen sollen? Ist diese Meldung mit dem Filter des Rtsels Lsung? Wenn ja, welcher Filter ist gemeint? Vielen Dank aber schon einmal vorab fr Deine Hilfe! PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Re: woody als Router
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On Montag, 11. August 2003 16:12, Tobias Kaefer wrote: Die einfachsten (und sehr unsicheren) iptables-Regeln für Masq. lautet: iptables -A INPUT -ACCEPT iptables -A FORWARD -ACCEPT iptables -A OUTPUT -ACCEPT iptables -A POSTROUTING -t nat -s $localnet -d '!' $localnet -j MASQUERADE also eigentlich hat masquerade nichts mit input und output zu tun, sondern nur mit forward -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.2 (GNU/Linux) iD8DBQE/N6rlcvmu2AQpgSMRAjPHAJ4s7Ha9I6FTM6evkxqY/TeCuwf41ACgzUUe 9YLSlMe6oRHmJ301I1MwWgM= =hDJn -END PGP SIGNATURE- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Re: woody als Router
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On Montag, 11. August 2003 15:17, Markus Hasenbein wrote: hi Markus zuallererst: nur zum testen ob nicht vielleicht doch ein paketfilter querschiesst: iptables -F FORWARD iptables -P FORWARD ACCEPT Und so sieht sie auf dem Router-Rechner aus, wenn die Verbidnung ins Internet besteht (Einwahl bei Arcor): Kernel IP routing table Destination Gateway Genmask Flags MSS Window irtt Iface 145.253.1.247 0.0.0.0 255.255.255.255 UH 40 0 0 ippp0 192.168.10.00.0.0.0 255.255.255.0 U40 0 0 eth0 0.0.0.0 0.0.0.0 0.0.0.0 U40 0 0 ippp0 destination 0.0.0.0 gateway 0.0.0.0 schaut komisch aus teste mal: route del default gw 0.0.0.0 route add default gw 145.253.1.247 (ip anpassen) ausserdem fehlt masquerading: iptables -t nat -A POSTROUTING -o ippp0 -s 192.168.10.0/24 -j MASQUERADE viel glck patrick -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.2 (GNU/Linux) iD8DBQE/N6J/cvmu2AQpgSMRApmfAKDIlNllxn02juubfazEvBwQtlaasgCZARdY Uu1J2WZR+E6zXIb5gmo4IdQ= =pQWc -END PGP SIGNATURE- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Re: woody als Router
Hier ist die Ausgabe von netstat -rn auf dem Arbeitsplatz-Rechner (davidson): Kernel IP routing table Destination Gateway Genmask Flags MSS Window irtt Iface 192.168.10.00.0.0.0 255.255.255.0 U40 0 0 eth0 0.0.0.0 192.168.10.10.0.0.0 UG 40 0 0 eth0 Hier ist die Ausgabe des Router-Rechners (harley) vor der Verbindung: Kernel IP routing table Destination Gateway Genmask Flags MSS Window irtt Iface 10.0.0.20.0.0.0 255.255.255.255 UH 40 0 0 ippp0 192.168.10.00.0.0.0 255.255.255.0 U40 0 0 eth0 0.0.0.0 0.0.0.0 0.0.0.0 U40 0 0 ippp0 Und so sieht sie auf dem Router-Rechner aus, wenn die Verbidnung ins Internet besteht (Einwahl bei Arcor): Kernel IP routing table Destination Gateway Genmask Flags MSS Window irtt Iface 145.253.1.247 0.0.0.0 255.255.255.255 UH 40 0 0 ippp0 192.168.10.00.0.0.0 255.255.255.0 U40 0 0 eth0 0.0.0.0 0.0.0.0 0.0.0.0 U40 0 0 ippp0 Hier ist jetzt noch die Ausgabe von tcpdump -n -t -q auf dem Arbeitsplatz-Rechner, wenn ich ping www.debian.org eingebe: arp who-has 192.168.10.1 tell 192.168.10.3 arp reply 192.168.10.1 is-at 0:0:e8:55:97:a8 192.168.10.3.32768 145.253.2.75.53: udp 32 (DF) 192.168.10.3.32768 145.253.2.75.53: udp 32 (DF) 192.168.10.3.32768 145.253.2.75.53: udp 45 (DF) 192.168.10.3.32768 145.253.2.75.53: udp 45 (DF) Nach Beendigug von tcpdump erhalte ich folgende Zusdammenfassung: 6 packets received by filter 0 packets dropped by kernel Hätte ich tcpdump mit anderen Parametern aufrufen sollen? Ist diese Meldung mit dem Filter des Rätsels Lösung? Wenn ja, welcher Filter ist gemeint? Vielen Dank aber schon einmal vorab für Deine Hilfe! Sieht doch eher so aus als wenn dein DNS nicht geht? www.debian.org hat 192.25.206.10 probier doch mal den ping mit der IP-Adresse! Dein Rechner versucht den Namen von www.debian.org durch ns2.arcor-ip.de auflösen zu lassen und bekommt aber keine Antwort. Gruss Thomas PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Re: woody als Router
Hallo Jochen, Patrick, Thomas und Tobias, vielen Dank fr Eure Hilfe! Dann werde ich mich jetzt mal an das Masquerading machen. cu! Markus Jochen Hein wrote: Markus Hasenbein [EMAIL PROTECTED] writes: Machst Du Masquerading? Firewalling? Was sagen die Logs derselben? Was sagt ein tcpdump auf allen drei beteiligten Rechnern? 2 x Nein! Firewall ist nicht aktiviert. Ich wollte das Ganze erst mal prinzipiell zum Laufen bringen, bevor ich es absichere. Masquerading habe ich nicht aktiviert (zumindest nicht bewut, wte aus dem Stegreif auch gar nicht wie). Lediglich IP-Forwarding habe ich eingeschaltet. Ok. Dann musst Du im lokalen Netz geroutete Adressen haben und diese von Deinem Provider routen lassen. Sonst wird das nichts ohne Masquerading. +++-+ | Arbeitsplatz || Router | ISDN | 192.168.10.3 | | 192.168.10.1| --- Internet | Name: davidson || Name: harley| +++-+ Wie sollen die Pakete aus dem Internet an 192.168.10.3 kommen? Du musst Masquerading machen, siehe die passende HowTo. Hier ist jetzt noch die Ausgabe von tcpdump -n -t -q auf dem Arbeitsplatz-Rechner, wenn ich ping www.debian.org eingebe: arp who-has 192.168.10.1 tell 192.168.10.3 arp reply 192.168.10.1 is-at 0:0:e8:55:97:a8 192.168.10.3.32768 145.253.2.75.53: udp 32 (DF) 192.168.10.3.32768 145.253.2.75.53: udp 32 (DF) 192.168.10.3.32768 145.253.2.75.53: udp 45 (DF) 192.168.10.3.32768 145.253.2.75.53: udp 45 (DF) Pakete gehen raus kommen aber nicht zurck. Wie auch... Htte ich tcpdump mit anderen Parametern aufrufen sollen? Das wre auf dem Zielrechner im Internet und dem Router auch interessant, falls Du mit Masquerading auch Probleme hast. Ist diese Meldung mit dem Filter des Rtsels Lsung? Wenn ja, welcher Filter ist gemeint? Nein, es ist nicht die Lsung; der Filter im tcpdump ist gemeint. Jochen PUG - Penguin User Group Wiesbaden - http://www.pug.org