ipchains: Masquerading/Firewall

Thomas Mueller Sat, 27 Mar 1999 14:57:03 -0500

Hallo!

Ich versuche verzweifelt erstmal das Masquerading fuer das lokale Netz
10.0.0.* zu aktivieren, im naechsten Schritt will ich dann eine komplette
Firewall bauen.

Die IP Adresse wird vom Provider dynamisch vergeben, nach dem
Verbindungsaufbau setze ich die DefaultRoute auf den Provider.

Ich verwende SuSE 6.0 mit Kernel 2.2.4, mein Start-Script sieht so aus:

----------------------------------------------------------------------------
LOKALIP="10.0.0.5"
LOKALNET="10.0.0.0/24"
DEVOUT="ppp0"
[..]
          echo "1" > /proc/sys/net/ipv4/ip_forward
          echo "1" > /proc/sys/net/ipv4/tcp_syncookies

          # Traffic von/fuer lokale IP zulassen
          ipchains -A input -d $LOKALIP
          ipchains -A output -s $LOKALIP

          # diese IP Adressen sind gespoofed da nur lokale Netze
#         ipchains -A input -i $DEVOUT -s 10.0.0.0/8 -l -j DENY
#         ipchains -A input -i $DEVOUT -s 172.16.0.0/12 -l -j DENY
[..]
          # Masquerading fuer lokales Netz aktivieren
          ipchains -A forward -i $DEVOUT -p all -s $LOKALNET -d 0/0 -j MASQ
----------------------------------------------------------------------------

Erstmal sind nur die 3 Zeilen aktiv, dann sieht �ipchains -L� so aus:

Chain input (policy ACCEPT):
target     prot opt     source                destination           ports
-          all  ------  anywhere              bandit.tmm.net        n/a
Chain forward (policy ACCEPT):
target     prot opt     source                destination           ports
MASQ       all  ------  10.0.0.0/24           anywhere              n/a
Chain output (policy ACCEPT):
target     prot opt     source                destination           ports
-          all  ------  bandit.tmm.net        anywhere              n/a

Damit sollte doch das Masquerading fuer das lokale Netz funktionieren,
oder? Ausser dem Firewall Rechner 10.0.0.5 (= bandit.tmm.net) bekommt aber
kein Rechner eine Antwort wenn er versucht einen Rechner ausserhalb von
10.0.0.* anzusprechen, was fehlt da oder ist falsch??

Fuer mich noch kurioser wird es wenn ich die oben auskommentierten Zeilen
mit reinnehme, dann bleibt �ipchains -L� naemlich haengen:

root@bandit:/usr/home/tmm > ipchains -L
Chain input (policy ACCEPT):
target     prot opt     source                destination           ports
-          all  ------  anywhere              bandit.tmm.net        n/a
DENY       all  ----l-  172.16.0.0/12         anywhere              n/a

Hier wird dann auf eine Eingabe gewartet.


Hat jemand vielleicht eine Idee was da falsch ist??


-- 
mfg Thomas Mueller - http://tmueller.home.pages.de - ICQ #17471620
--
Um aus der Liste ausgetragen zu werden, eine Mail an [EMAIL PROTECTED]
schicken, mit dem Text: unsubscribe suse-linux
ipchains: Masquerading/Firewall

Antwort per Email an
