Re: [PUG] Re: woody als Router

2003-08-14 Diskussionsfäden Tobias Kaefer 
Quoting Patrick Schroeder [EMAIL PROTECTED]:

 -BEGIN PGP SIGNED MESSAGE-
 Hash: SHA1
 
 On Montag, 11. August 2003 16:12, Tobias Kaefer wrote:
 
 
  Die einfachsten (und sehr unsicheren) iptables-Regeln für Masq. lautet:
  iptables -A INPUT -ACCEPT
  iptables -A FORWARD -ACCEPT
  iptables -A OUTPUT -ACCEPT
  iptables -A POSTROUTING -t nat -s $localnet -d '!' $localnet -j MASQUERADE
 
 also eigentlich hat masquerade nichts mit input und output zu tun, sondern
 nur 

Danke für die Belehrung!
Das weiss ich auch


PUG - Penguin User Group Wiesbaden - http://www.pug.org

RE: [PUG] Re: woody als Router

2003-08-14 Diskussionsfäden Denny Schierz 
Hi,

Das mit den Links geht viel bequemer :-) 

update-rc.d dienst_zum_starten default

Vor zwei Tagen endeckt, also ich mich darüber aufregte, das es doch
unter gentoo so easy geht ;-)

Cu denny


 -Original Message-
 From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On 
 Behalf Of Matthias Firner

 Runlevelvezeichnis /etc/rcNummer.d noch einen passenden Link auf 
 dieses Skript setzen, in meinem Fall sind das die Links 
 /etc/rc2.d/S21iptables - /etc/init.d/iptables 
 /etc/rc3.d/S21iptables - /etc/init.d/iptables
 



PUG - Penguin User Group Wiesbaden - http://www.pug.org

Re: [PUG] Re: woody als Router

2003-08-14 Diskussionsfäden Tobias Kaefer 
 2 x Nein! Firewall ist nicht aktiviert. Ich wollte das Ganze erst mal 
 prinzipiell zum Laufen bringen, bevor ich es absichere. Masquerading 
 habe ich nicht aktiviert (zumindest nicht bewußt, wüßte aus dem Stegreif 
 auch gar nicht wie). Lediglich IP-Forwarding habe ich eingeschaltet.

Wenn Du von einem Rechner in Deinem LAN (also davidson) auf einen
Server im Internet zugreifen willst brauchst Du  Masquerading.

Die einfachsten (und sehr unsicheren) iptables-Regeln für Masq. lautet:
iptables -A INPUT -ACCEPT
iptables -A FORWARD -ACCEPT
iptables -A OUTPUT -ACCEPT
iptables -A POSTROUTING -t nat -s $localnet -d '!' $localnet -j MASQUERADE

Diese Regeln bitt nur zum testen verwenden.
Du solltest Dich mit den iptables befassen und Dir Deine eigene Firewall
zusammenstellen.
Ich würde Dir auch gerne meine aktuellen Regeln zukommen lassen,
aber bei derzeit ca. 450 Zeilen ist das wohl für den Anfang ein wenig zu viel.

 Hier ist die Ausgabe von netstat -rn auf dem Arbeitsplatz-Rechner
 (davidson):
..
 Hier ist die Ausgabe des Router-Rechners (harley) vor der Verbindung:
..
 Und so sieht sie auf dem Router-Rechner aus, wenn die Verbidnung ins
 Internet besteht (Einwahl bei Arcor):
..

Das sieht so weit gut aus!

 Hier ist jetzt noch die Ausgabe von tcpdump -n -t -q auf dem 
 Arbeitsplatz-Rechner, wenn ich ping www.debian.org eingebe:
 
 arp who-has 192.168.10.1 tell 192.168.10.3
 arp reply 192.168.10.1 is-at 0:0:e8:55:97:a8
 192.168.10.3.32768  145.253.2.75.53:  udp 32 (DF)
 192.168.10.3.32768  145.253.2.75.53:  udp 32 (DF)
 192.168.10.3.32768  145.253.2.75.53:  udp 45 (DF)
 192.168.10.3.32768  145.253.2.75.53:  udp 45 (DF)

Hier wird die IP-Adresse der ISDN-Verbindung angepingt, oder?
Du benutzt Arcor zur Einwahl, wenn ich richtig liege.
 

Tobi



PUG - Penguin User Group Wiesbaden - http://www.pug.org

Re: [PUG] Re: woody als Router

2003-08-14 Diskussionsfäden Matthias Firner 
Hallo Markus,

Du solltest Dir mal das Konzept von System V Init ansehen. Die 
autoexec.bat von Linux ist nämlich über diverse Verzeichnisse, und 
Skripte verteilt.

Markus Hasenbein wrote:

Wo gebe ich denn bei woody an, daß das Scripts augeführt werden soll? 
Ganz einfache Lösung: Du pakst ein Skript namens iptables in /etc/init.d
Da stehen nämlich alle Skripte drin, die irgendwie beim booten oder beim 
Wechseln des Runlevels gebraucht werden könnten.
Und damit das auch noch ausgeführt wird, mußt Du im passenden 
Runlevelvezeichnis /etc/rcNummer.d noch einen passenden Link auf 
dieses Skript setzen, in meinem Fall sind das die Links
/etc/rc2.d/S21iptables - /etc/init.d/iptables
/etc/rc3.d/S21iptables - /etc/init.d/iptables

Allerdings hat Debian da ein eigenes Skript namens iptables, welches so 
richtig mit 'start' 'stop' und 'restart' Parametern umgehen kann und die 
iptables Konfiguration (sogar mehrere) irgendwo speichert und beim 
booten wieder lädt. Wenn Du also bereits ein iptables-Skript in 
/etc/init.d/ hast, dann lies einfach mal /etc/defaults/iptables durch, 
da ist das erklärt.

Gruß,

Matthias.


PUG - Penguin User Group Wiesbaden - http://www.pug.org

Re: [PUG] Re: woody als Router

2003-08-14 Diskussionsfäden Markus Hasenbein 


Die einfachsten (und sehr unsicheren) iptables-Regeln für Masq. lautet:
iptables -A INPUT -ACCEPT
iptables -A FORWARD -ACCEPT
iptables -A OUTPUT -ACCEPT
iptables -A POSTROUTING -t nat -s $localnet -d '!' $localnet -j MASQUERADE
Diese Regeln bitt nur zum testen verwenden.
Du solltest Dich mit den iptables befassen und Dir Deine eigene Firewall
zusammenstellen.
 

Hallo nochmal,

ich nehme an, daß ich die iptables-Befehle am besten in ein Script 
packe, das dann beim Starten des Rechners optimalerweise automatisch 
ausgeführt wird.

Wo gebe ich denn bei woody an, daß das Scripts augeführt werden soll? 
Gibt es da so etwas wie eine autoexec.bat und DOS? Bei SuSE gibt es eine 
boot.local-Datei, wo ich es eintragen könnte. Das ist aber wieder 
SuSE-typisch so weit ich informiert bin.

cu!

Markus


PUG - Penguin User Group Wiesbaden - http://www.pug.org

Re: [PUG] Re: woody als Router

2003-08-14 Diskussionsfäden Markus Hasenbein 
Jochen Hein wrote:

[EMAIL PROTECTED] writes:



Die ISDN-Verbindung on demand klappt, IP-Forwarding ist eingeschaltet (in
/etc/network/options), aber auf dem PC von dem aus ich ber den 
Router ins
Internet will, kommen keine Daten an.



Machst Du Masquerading?  Firewalling?  Was sagen die Logs derselben?
Was sagt ein tcpdump auf allen drei beteiligten Rechnern?



2 x Nein! Firewall ist nicht aktiviert. Ich wollte das Ganze erst mal 
prinzipiell zum Laufen bringen, bevor ich es absichere. Masquerading 
habe ich nicht aktiviert (zumindest nicht bewut, wte aus dem Stegreif 
auch gar nicht wie). Lediglich IP-Forwarding habe ich eingeschaltet.

Die Routing Tabellen sollten stimmen, denn die habe ich von einer 
frheren

funktionierenden Konfiguration mit SuSE bernommen.



Sicher?  Mal einmal ein Bild und zeige die Tabellen (netstat -rn) her.


+++-+
| Arbeitsplatz   || Router  |  ISDN
| 192.168.10.3   |   | 192.168.10.1| --- Internet
| Name: davidson || Name: harley|
+++-+

Hier ist die Ausgabe von netstat -rn auf dem Arbeitsplatz-Rechner
(davidson):
Kernel IP routing table
Destination Gateway Genmask Flags   MSS Window  irtt
Iface
192.168.10.00.0.0.0 255.255.255.0   U40 0  0
eth0
0.0.0.0 192.168.10.10.0.0.0 UG   40 0  0
eth0
Hier ist die Ausgabe des Router-Rechners (harley) vor der Verbindung:
Kernel IP routing table
Destination Gateway Genmask Flags   MSS Window  irtt
Iface
10.0.0.20.0.0.0 255.255.255.255 UH   40 0  0
ippp0
192.168.10.00.0.0.0 255.255.255.0   U40 0  0
eth0
0.0.0.0 0.0.0.0 0.0.0.0 U40 0  0
ippp0
Und so sieht sie auf dem Router-Rechner aus, wenn die Verbidnung ins
Internet besteht (Einwahl bei Arcor):
Kernel IP routing table
Destination Gateway Genmask Flags   MSS Window  irtt
Iface
145.253.1.247   0.0.0.0 255.255.255.255 UH   40 0  0
ippp0
192.168.10.00.0.0.0 255.255.255.0   U40 0  0
eth0
0.0.0.0 0.0.0.0 0.0.0.0 U40 0  0
ippp0
Hier ist jetzt noch die Ausgabe von tcpdump -n -t -q auf dem 
Arbeitsplatz-Rechner, wenn ich ping www.debian.org eingebe:

arp who-has 192.168.10.1 tell 192.168.10.3
arp reply 192.168.10.1 is-at 0:0:e8:55:97:a8
192.168.10.3.32768  145.253.2.75.53:  udp 32 (DF)
192.168.10.3.32768  145.253.2.75.53:  udp 32 (DF)
192.168.10.3.32768  145.253.2.75.53:  udp 45 (DF)
192.168.10.3.32768  145.253.2.75.53:  udp 45 (DF)
Nach Beendigug von tcpdump erhalte ich folgende Zusdammenfassung:
6 packets received by filter
0 packets dropped by kernel
Htte ich tcpdump mit anderen Parametern aufrufen sollen?

Ist diese Meldung mit dem Filter des Rtsels Lsung? Wenn ja, welcher 
Filter ist gemeint?

Vielen Dank aber schon einmal vorab fr Deine Hilfe!




PUG - Penguin User Group Wiesbaden - http://www.pug.org

Re: [PUG] Re: woody als Router

2003-08-14 Diskussionsfäden Patrick Schroeder 
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

On Montag, 11. August 2003 16:12, Tobias Kaefer wrote:


 Die einfachsten (und sehr unsicheren) iptables-Regeln für Masq. lautet:
 iptables -A INPUT -ACCEPT
 iptables -A FORWARD -ACCEPT
 iptables -A OUTPUT -ACCEPT
 iptables -A POSTROUTING -t nat -s $localnet -d '!' $localnet -j MASQUERADE

also eigentlich hat masquerade nichts mit input und output zu tun, sondern nur 
mit forward
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.2.2 (GNU/Linux)

iD8DBQE/N6rlcvmu2AQpgSMRAjPHAJ4s7Ha9I6FTM6evkxqY/TeCuwf41ACgzUUe
9YLSlMe6oRHmJ301I1MwWgM=
=hDJn
-END PGP SIGNATURE-



PUG - Penguin User Group Wiesbaden - http://www.pug.org

Re: [PUG] Re: woody als Router

2003-08-14 Diskussionsfäden Patrick Schroeder 
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

On Montag, 11. August 2003 15:17, Markus Hasenbein wrote:

hi Markus

zuallererst:
nur zum testen ob nicht vielleicht doch ein paketfilter querschiesst:
iptables -F FORWARD
iptables -P FORWARD ACCEPT


 Und so sieht sie auf dem Router-Rechner aus, wenn die Verbidnung ins
 Internet besteht (Einwahl bei Arcor):

 Kernel IP routing table
 Destination Gateway Genmask Flags   MSS Window  irtt
 Iface
 145.253.1.247   0.0.0.0 255.255.255.255 UH   40 0  0
 ippp0
 192.168.10.00.0.0.0 255.255.255.0   U40 0  0
 eth0
 0.0.0.0 0.0.0.0 0.0.0.0 U40 0  0
 ippp0


destination 0.0.0.0 gateway 0.0.0.0 schaut komisch aus
teste mal:
route del default gw 0.0.0.0
route add default gw 145.253.1.247  (ip anpassen)

ausserdem fehlt masquerading:
iptables -t nat -A POSTROUTING  -o ippp0  -s 192.168.10.0/24 -j MASQUERADE

viel glck

patrick
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.2.2 (GNU/Linux)

iD8DBQE/N6J/cvmu2AQpgSMRApmfAKDIlNllxn02juubfazEvBwQtlaasgCZARdY
Uu1J2WZR+E6zXIb5gmo4IdQ=
=pQWc
-END PGP SIGNATURE-



PUG - Penguin User Group Wiesbaden - http://www.pug.org

[PUG] Re: woody als Router

2003-08-14 Diskussionsfäden Jochen Hein 
Markus Hasenbein [EMAIL PROTECTED] writes:

  Machst Du Masquerading?  Firewalling?  Was sagen die Logs derselben?
  Was sagt ein tcpdump auf allen drei beteiligten Rechnern?

 2 x Nein! Firewall ist nicht aktiviert. Ich wollte das Ganze erst mal
 prinzipiell zum Laufen bringen, bevor ich es absichere. Masquerading
 habe ich nicht aktiviert (zumindest nicht bewut, wte aus dem
 Stegreif auch gar nicht wie). Lediglich IP-Forwarding habe ich
 eingeschaltet.

Ok.  Dann musst Du im lokalen Netz geroutete Adressen haben und diese
von Deinem Provider routen lassen.  Sonst wird das nichts ohne
Masquerading.

 +++-+
 | Arbeitsplatz   || Router  |  ISDN
 | 192.168.10.3   |   | 192.168.10.1| --- Internet
 | Name: davidson || Name: harley|
 +++-+

Wie sollen die Pakete aus dem Internet an 192.168.10.3 kommen?  Du
musst Masquerading machen, siehe die passende HowTo.

 Hier ist jetzt noch die Ausgabe von tcpdump -n -t -q auf dem
 Arbeitsplatz-Rechner, wenn ich ping www.debian.org eingebe:

 arp who-has 192.168.10.1 tell 192.168.10.3
 arp reply 192.168.10.1 is-at 0:0:e8:55:97:a8
 192.168.10.3.32768  145.253.2.75.53:  udp 32 (DF)
 192.168.10.3.32768  145.253.2.75.53:  udp 32 (DF)
 192.168.10.3.32768  145.253.2.75.53:  udp 45 (DF)
 192.168.10.3.32768  145.253.2.75.53:  udp 45 (DF)

Pakete gehen raus kommen aber nicht zurck.  Wie auch...

 Htte ich tcpdump mit anderen Parametern aufrufen sollen?

Das wre auf dem Zielrechner im Internet und dem Router auch
interessant, falls Du mit Masquerading auch Probleme hast.

 Ist diese Meldung mit dem Filter des Rtsels Lsung? Wenn ja, welcher
 Filter ist gemeint?

Nein, es ist nicht die Lsung; der Filter im tcpdump ist gemeint.

Jochen

-- 
#include ~/.signature: permission denied

PUG - Penguin User Group Wiesbaden - http://www.pug.org

Re: [PUG] Re: woody als Router

2003-08-11 Diskussionsfäden Thomas Borger 
 Hier ist die Ausgabe von netstat -rn auf dem Arbeitsplatz-Rechner
 (davidson):

 Kernel IP routing table
 Destination Gateway Genmask Flags   MSS Window  irtt
 Iface
 192.168.10.00.0.0.0 255.255.255.0   U40 0  0
 eth0
 0.0.0.0 192.168.10.10.0.0.0 UG   40 0  0
 eth0

 Hier ist die Ausgabe des Router-Rechners (harley) vor der Verbindung:
 Kernel IP routing table
 Destination Gateway Genmask Flags   MSS Window  irtt
 Iface
 10.0.0.20.0.0.0 255.255.255.255 UH   40 0  0
 ippp0
 192.168.10.00.0.0.0 255.255.255.0   U40 0  0
 eth0
 0.0.0.0 0.0.0.0 0.0.0.0 U40 0  0
 ippp0


 Und so sieht sie auf dem Router-Rechner aus, wenn die Verbidnung ins
 Internet besteht (Einwahl bei Arcor):

 Kernel IP routing table
 Destination Gateway Genmask Flags   MSS Window  irtt
 Iface
 145.253.1.247   0.0.0.0 255.255.255.255 UH   40 0  0
 ippp0
 192.168.10.00.0.0.0 255.255.255.0   U40 0  0
 eth0
 0.0.0.0 0.0.0.0 0.0.0.0 U40 0  0
 ippp0


 Hier ist jetzt noch die Ausgabe von tcpdump -n -t -q auf dem
 Arbeitsplatz-Rechner, wenn ich ping www.debian.org eingebe:

 arp who-has 192.168.10.1 tell 192.168.10.3
 arp reply 192.168.10.1 is-at 0:0:e8:55:97:a8
 192.168.10.3.32768  145.253.2.75.53:  udp 32 (DF)
 192.168.10.3.32768  145.253.2.75.53:  udp 32 (DF)
 192.168.10.3.32768  145.253.2.75.53:  udp 45 (DF)
 192.168.10.3.32768  145.253.2.75.53:  udp 45 (DF)

 Nach Beendigug von tcpdump erhalte ich folgende Zusdammenfassung:
 6 packets received by filter
 0 packets dropped by kernel

 Hätte ich tcpdump mit anderen Parametern aufrufen sollen?

 Ist diese Meldung mit dem Filter des Rätsels Lösung? Wenn ja, welcher
 Filter ist gemeint?

 Vielen Dank aber schon einmal vorab für Deine Hilfe!

Sieht doch eher so aus als wenn dein DNS nicht geht?

www.debian.org hat 192.25.206.10

probier doch mal den ping mit der IP-Adresse!
Dein Rechner versucht den Namen von www.debian.org durch ns2.arcor-ip.de
auflösen zu lassen und bekommt aber keine Antwort.

Gruss
Thomas




PUG - Penguin User Group Wiesbaden - http://www.pug.org

Re: [PUG] Re: woody als Router

2003-08-11 Diskussionsfäden Markus Hasenbein 
Hallo Jochen,  Patrick, Thomas und Tobias,

vielen Dank fr Eure Hilfe!  Dann werde ich mich jetzt mal an das 
Masquerading machen.

cu!

Markus

Jochen Hein wrote:

Markus Hasenbein [EMAIL PROTECTED] writes:

 

Machst Du Masquerading?  Firewalling?  Was sagen die Logs derselben?
Was sagt ein tcpdump auf allen drei beteiligten Rechnern?
2 x Nein! Firewall ist nicht aktiviert. Ich wollte das Ganze erst mal
prinzipiell zum Laufen bringen, bevor ich es absichere. Masquerading
habe ich nicht aktiviert (zumindest nicht bewut, wte aus dem
Stegreif auch gar nicht wie). Lediglich IP-Forwarding habe ich
eingeschaltet.
   

Ok.  Dann musst Du im lokalen Netz geroutete Adressen haben und diese
von Deinem Provider routen lassen.  Sonst wird das nichts ohne
Masquerading.
 

+++-+
| Arbeitsplatz   || Router  |  ISDN
| 192.168.10.3   |   | 192.168.10.1| --- Internet
| Name: davidson || Name: harley|
+++-+
   

Wie sollen die Pakete aus dem Internet an 192.168.10.3 kommen?  Du
musst Masquerading machen, siehe die passende HowTo.
 

Hier ist jetzt noch die Ausgabe von tcpdump -n -t -q auf dem
Arbeitsplatz-Rechner, wenn ich ping www.debian.org eingebe:
arp who-has 192.168.10.1 tell 192.168.10.3
arp reply 192.168.10.1 is-at 0:0:e8:55:97:a8
192.168.10.3.32768  145.253.2.75.53:  udp 32 (DF)
192.168.10.3.32768  145.253.2.75.53:  udp 32 (DF)
192.168.10.3.32768  145.253.2.75.53:  udp 45 (DF)
192.168.10.3.32768  145.253.2.75.53:  udp 45 (DF)
   

Pakete gehen raus kommen aber nicht zurck.  Wie auch...

 

Htte ich tcpdump mit anderen Parametern aufrufen sollen?
   

Das wre auf dem Zielrechner im Internet und dem Router auch
interessant, falls Du mit Masquerading auch Probleme hast.
 

Ist diese Meldung mit dem Filter des Rtsels Lsung? Wenn ja, welcher
Filter ist gemeint?
   

Nein, es ist nicht die Lsung; der Filter im tcpdump ist gemeint.

Jochen

 




PUG - Penguin User Group Wiesbaden - http://www.pug.org