René Oelke wrote:
[ ... eine schöne Geschichte über unsere T*L*K*M ... ]
einige vielleicht sogar irgendwann sehr viele fragen bleiben noch offen! ich habe ein netz mit 4 rechnern (3 win, 1 linux). alle rechner haben eigene IPs (192.168...) in der hosts-datei eingetragen. die ISDN-karte hat eine eigene IP für den ausgehenden verkehr. da das masquerading in suse6.3 wohl nicht hinhaut (ich habe es erst gar nicht probiert), laeuft alles ueber einen proxy (squid) auf der linux-kiste.
Es läuft! # ipchains -P forward DENY # ipchains -A forward -i ippp0 -j MASQ # echo 1 > /proc/sys/net/ipv4/ip_forward
FRAGE 1: immer, wenn der squid gestartet wird, wird auch eine linux-verbindung per isdn aufgebaut. in der messages ist ungefaehr folgender eintrag kurz nach dem start von squid xxx OPEN 192.168.10.1 -> 141.45.221.75, port: 1060 -> 53 der port 1060 muss dabei nicht immer dieser sein. es stand da auch schon ein anderen. aber dass der anruf vom proxy ausgeloest wird, ist sehr wahrscheinlich (denn ohne passiert das nicht). wie kann ich das anrufen beim hochfahren abschalten?
Nameserveranfrage (Port 53=DNS); siehe hierzu die SDB, Stichwort "ungewollter Verbindungsaufbau".
FRAGE 2: kann man auch mail, ftp, telnet, chat usw. (jegliche IP-verkehr) ueber einen proxy abwickeln oder muss ich da dann das masquerading einschalten?
Zwischen Proxy und Masquerade besteht ein Unterschied; bei erstem baut der Client eine Verbindung zu einem Proxy-Programm auf dem Server auf und dieses besorgt dann die Daten aus dem INET. Das Proxy-Programm kann dabei weitere Aufgaben übernehmen (z.B. Caching beim Squid oder aber Filtern; dann hat man (fast) eine Application-Level Firewall). Beim Masquerading "ersetzt" der Server/das Gateway den Socket (IP+Portnummer) des Clients durch eine eigene und leitet den Datenverkehr dann einfach durch. Die IP des Clients wird dadurch nach außen versteckt. Es gibt Proxys für fast alle Fälle (generische Proxys), Informationen hierzu sollte das Firewall-HowTo liefern oder aber das TIS-Firewall-Kit. Auch mit ipchains soll man eine generische Proxyfunktionalität aufbauen können (bitte hierzu mal das Listenarchiv durchforsten). Du solltest aber zuerst die Frage für Dich klären, ob Du eine Firewall (dann Proxys) oder ein einfaches Gateway (dann Masquerading) bauen willst. Gruß hebi -- Dirk Hebenstreit Büro-Informationstechnik Tel.: 0170 2461522 Eschenweg 3 033200 85997 14558 Bergholz-Rehbrücke FAX : 033200 85999 dhebenstreit@rios.de dhebi@gmx.net