* Dienstag, 28. August 2001 um 20:44 (+0200) schrieb Michael Nausch:
Habedieehreoidewuaschdhaud!
"brain: Habedieehreoidewuaschdhaud!: word not found, Reboot? <y>" ;-)
[ MSS-Clamping ] Das einfachste wird IMHO wohl sein, den clients die kleinere MTU beizubringen, oder?
Kann man machen, aber ich finde es einfacher mit 'iptables' auf dem Router (s.u.)
So und nun zu Schritt zwei. Ich mache folgendes:
UND DANN. :-(
4. Ich starte meinen neuen firewall-script "gateway" und der schlägt entsprechend durch. Sprich dann geht gar nix mehr.
Um die Samba-Shares des Routers zu nutzen, musst du aber auch noch die Ports 137,138,139(?) auf dem Router "öffnen" (für Zugriffe aus dem lokalen Netz).
Ich kann z.B. nicht t-lobgline anpingen, dader zugehörige Name nicht aufgelöst wird.
'adsl-start' ist aber ausgeführt und der Router hat die Verbindung aufgebaut? Und -- hm, ich traue mich kaum zu fragen, aber... -- die T-Online-NS sind auf den *Clients* eingetragen? <duck> Ein (potentielles) Problem könnten die Regeln für die NS sein: Laut RFC müssen IIRC NS-Anfragen nicht unbedingt von den $HIGHPORTS ausgehen, auch Anfragen _von_ Port 53 sind erlaubt.
# ---------------------------------------------------------- # MASQUERADING
$IPTABLES -t nat -A POSTROUTING -o $EXT -j MASQUERADE
Hier z.B. für "MSS-Clamping" einfügen: $IPTABLES -A FORWARD -p tcp -i $INT -o $EXT -s $LAN --tcp-flags\ SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
# ---------------------------------------------------------- # ICMP
$IPTABLES -A FORWARD -o $EXT \ -p ICMP --icmp-type echo-reply -j ACCEPT
Wenn du von den Clients pingen willst, dann müsste da oben stehen: "--icmp-type echo-request", oder?
$IPTABLES -A INPUT -j my_drop $IPTABLES -A FORWARD -j my_drop $IPTABLES -A OUTPUT -j REJECT
Warum lässt du die "übriggebliebenen" Pakete der OUTPUT-Chain vor dem "rejecten" nicht auch noch durch 'my-drop' laufen? Also ich finde, das Firewall-Skript sieht sehr gut aus. Gruß Andreas -- Andreas Könecke "Andreas Koenecke <akoenecke@akoenecke.de>" PGP-ID/Fingerprint: BD7C2E59/3E 11 E5 29 0C A8 2F 49 40 6C 2D 5F 12 9D E1 E3 PGP-Key on request or on public keyservers --