On Mon, Apr 22, 2002 at 15:28:15 +0200, Wolfgang Grüneberg wrote: Wolfgang, Deine Zeilen sind zu lang. Bitte stelle Deinen MUA auf einen Zeilenumbruch bei 68 Zeichen ein. Danke!
Ich betreibe in einem kleinen Hausnetz einen Linux-Rechner mit SuSE 7.2 als Internet-Server und -Router. Mit "iptables -A POSTROUTING -t nat -j MASQUERADE -o ppp0" und "echo 1 > /proc/sys/net/ipv4/ip_forward" habe ich, um das System zunächst nur zum Laufen zu bringen, das Masquerading ohne firewall eingerichtet.
Was heisst: Ohne Firewall? Gibt es irgendwelche Regeln, die verhindern, dass Deine Datenpakete ueber Deinen Router ins Internet gelangen?
Das Masquerading funktioniert soweit auch, bis auf FTP! Früher mußte man das Modul ip_masq_ftp laden, damit FTP geht. Aber dieses Modul scheint es nicht mehr zu geben. Was muß man bei 7.2 tun, damit auch FTP über Masquerading geht?
Hast Du einen eigenen Kernel kompiliert? Sind da auch die Teile fuer Iptables mit reinkompiliert worden? Ich komme mit folgenden Regeln wunderbar ueber meinen Router hinweg, auch und vor allem mit FTP. Diese sehen so aus (mein eigener PC hat die IP 192.168.90.250): ,---------------------------------------------------------------- | echo 1 > /proc/sys/net/ipv4/ip_forward | | $IPTABLES -A INPUT -i $INTERFACE_INTERN \ | --source 192.168.90.250/32 -j ACCEPT | $IPTABLES -A OUTPUT -o $INTERFACE_INTERN \ | --destination 192.168.90.250/32 -j ACCEPT | $IPTABLES -A FORWARD -i $INTERFACE_INTERN -o $INTERFACE_EXTERN \ | --source 192.168.90.250/32 -j ACCEPT | $IPTABLES -A FORWARD -i $INTERFACE_EXTERN -o $INTERFACE_INTERN \ | --destination 192.168.90.250/32 -j ACCEPT | | $IPTABLES -t nat -A POSTROUTING --source 192.168.90.250/32 \ | -o $INTERFACE_EXTERN -j MASQUERADE `---------------------------------------------------------------- Ich glaube, Dir fehlen die entsprechenden Forward-Eintraege, die IMHO erforderlich sind. Probiere es einmal aus. BTW: Ich wuerde gerne zur Diskussion stellen, ob meine aufgefuehrten Regeln als Sicherheitsloch einzustufen sind? Ganz wohl ist mir bei den Regeln naemlich nicht, doch brauchte ich diese Einstellungen fuer mein Windows, welches auf der gleichen Liste laeuft und mit welchem ich gelegnetlich Homebanking mache. Gruss Peter Blancke -- Nachtwaechter ist der Wahnsinn, weil er wacht...