Griasde! Am Dienstag 28 August 2001 23:51 schrieb Andreas Koenecke:
Um die Samba-Shares des Routers zu nutzen, musst du aber auch noch die Ports 137,138,139(?) auf dem Router "öffnen" (für Zugriffe aus dem lokalen Netz).
137 und 138 gehören nmbd und 139 smbd. 'ne FRage am Rand, ist das dann TCP-Verkehr, wahrscheinlich schon oder, oder ist es besser, den Port generell freizugeben. natürlich nur für das interen Netzwerk.
Und -- hm, ich traue mich kaum zu fragen, aber... -- die T-Online-NS sind auf den *Clients* eingetragen? <duck>
Sind z.B. hier auf dem Rechner, an dem ich sitze, das ist der Router/server in der resolv.conf eingetragen. Starte ich meinen firewall-standalone-pc script, dann geht's ja auch .. :-(
Ein (potentielles) Problem könnten die Regeln für die NS sein: Laut RFC müssen IIRC NS-Anfragen nicht unbedingt von den $HIGHPORTS ausgehen, auch Anfragen _von_ Port 53 sind erlaubt.
Hmmm, versteh' ich zwar (jetzt noch) nicht aber das kann ja noch werden ...
Hier z.B. für "MSS-Clamping" einfügen: $IPTABLES -A FORWARD -p tcp -i $INT -o $EXT -s $LAN --tcp-flags\ SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
Für meinen script müsste es aber wahrscheinlich dann heißen: $IPTABLES -A FORWARD -p tcp -i $INT -o $EXT -s $INTERN ... oder? m;-)
# ---------------------------------------------------------- # ICMP
$IPTABLES -A FORWARD -o $EXT \ -p ICMP --icmp-type echo-reply -j ACCEPT
Wenn du von den Clients pingen willst, dann müsste da oben stehen: "--icmp-type echo-request", oder?
Jep, glaub' da hast Du recht ...
$IPTABLES -A INPUT -j my_drop $IPTABLES -A FORWARD -j my_drop $IPTABLES -A OUTPUT -j REJECT
Warum lässt du die "übriggebliebenen" Pakete der OUTPUT-Chain vor dem "rejecten" nicht auch noch durch 'my-drop' laufen?
Ui, da ist mir doch glatt 'was von meiner firewall-standalone durchgerutscht. Danke!
Also ich finde, das Firewall-Skript sieht sehr gut aus.
Aber wahrscheinlich zu gut, denn es geht mit dem Teil weder was raus noch rein! Was nun sprach Zeus? Pfiade, BC -- Michael Nausch Anzinger Str. 20 85586 Poing +49-8121-971940 (voice) +49-8121-971941 (fax) http://omni128.de michael@nausch.org