Hallo Christian > Ähh.. Sorry. > Natürlich übernimmt mein Rechner auch das Routing & Masquerading > für meinen > Mac... > Aber wie schon geschrieben: Ich habe jetzt das Paket ipmasq installiert, > welches meinem ersten Eindruck nach recht restriktive ipchains-Regeln > aufsetzt, und nun werde ich erstmal etwas genauer das Was, Wo und Wie > erforschen... Noch ein "kleiner" Hinweis. Meines wissens nach brauchst du das Paket ipmasq gar nicht. Du musst lediglich im Kernel die Option Masquerading eingeschaltet haben und ip-forwarding muss eingeschaltet sein. In der c't gabs irgendwann im vergangenen Jahr mal einen Arrikel "Netzwek in Ketten". Vielleicht findest du den noch im Archiv. Hier ein Beispiel:
ipchains -F ipchains -P input REJECT ipchains -P output REJECT ipchains -P forward REJECT ipchains -A input -i lo -j ACCEPT ipchains -A output -i lo -j ACCEPT # Abschnitt http: Port 80 # # rule 01: WWW-Anfragen der Clients aus dem privaten Netz erlauben # rule 02: diese werden dann maskiert # rule 03: und dann durch die output-chain gelassen # rule 03: Antwortpakete durch die input-chain schleusen (ohne Syn-Bit!) # rule 04: und nach demask. durch die output-chain (auch ohne Syn-Bit!) # ipchains -A input -s 192.168.0.0/21 1024: --dport 80 -p tcp -i eth1 -j ACCEPT ipchains -A forward -s 192.168.0.0/21 1024: --dport 80 -p tcp -i eth0 -j MASQ ipchains -A output -s xxx.xxx.xxx.xxx 1024: --dport 80 -p tcp -i eth0 -j ACCEPT ipchains -A input --sport 80 -d xxx.xxx.xxx.xxx 1024: -p tcp -i eth0 -j ACCEPT ! -y ipchains -A output --sport 80 -d 192.168.0.0/21 1024: -p tcp -i eth1 -j ACCEPT ! -y eth0 entspricht dabei deiner ISDN-Karte. Beachte bitte, dass bei den Regeln 3 und 4 das Paket bereits bzw. noch die IP der externen Schnittstelle hat. Beachte weiterhin, dass die Standard-Policy der input chain nicht auf DENY, sondern auf REJECT steht. Damit bekommt der Absender eine Nachricht über die Ablehnung. Das hat folgenden Sinn: Beginnst du eine ftp-Sitzung auf Port 21, wird danach der Datenkanal auf Port 20 mit aktivem SYN-Bit von aussen aufgebaut. Bei DENY kannst du da ewig warten. Bei REJECT besteht die Chance, dass der ftp-Server automatisch in den passive-Modus zurückfällt. Beide Seiten benutzen dann Ports oberhalb 1024. HTH Harald -- ----------------------------------------------------------- Um sich aus der Liste auszutragen schicken Sie bitte eine E-Mail an [EMAIL PROTECTED] die im Subject "unsubscribe <deine_email_adresse>" enthaelt. Bei Problemen bitte eine Mail an: [EMAIL PROTECTED] ----------------------------------------------------------- 849 eingetragene Mitglieder in dieser Liste.
