Tataeeee, hier ist die Pappnase des Monats! ;-) Ich galub' ich hab's, oder auch nicht ... ;-) Nochmals zum Verständnis: Konfiguration jetzt: | | | <----- Verbindung zum Internet | über DSL-Modem zu | t-longline | +-----+-----+ | eth0 | | | +---------+ | +--------------+ Drucker | | | +---------+ | "Server" | +-----------+ Hier ist beim firewall-script folgendes Regelkettenwerk zu beachten: + / \ / \ / \ +---------+ / \ | | incoming / \ | FORWARD | outgoing ---------->+ routing? +---->+ REGEL- +------------+--------> \ / | | ^ \ / +---------+ | \ / | \ / | \ / | + | | | | | V | +-------+-------+ +--------+-------+ | | | | | INPUT - REGEL | | OUTPUT - REGEL | | | | | +-------+-------+ +--------+-------+ | ^ | | V | LOKAL LOKAL Im Detail: INPUT-Regel : Es kommt ein Paket von ppp0 und das Paket wird an den "lokalen Rechner" weitergegeben. FORWARD-REGEL: Kommt nicht zum tragen, da das Routing im Firewall-script ausgeschaltet wurde. ( echo "0" > /proc/sys/net/ipv4/ip_forward ) OUTPUT-REGEL : Der Rechner verschickt selbst Pakete, die konform mit dieser Regel sein muss. (Den zugehörigen firewall-script findet man "weiter oben im thread".) Konfiguration jetzt: | | | <----- Verbindung zum Internet | über DSL-Modem zu | t-longline | +-----+-----+ | eth0 | | | +-----+ | eth1 +--------------+ Hub | | | +-+-+-+ | "Server" | | | +-----------+ | | | | +-----------+ | | | | | | | | | | | eth0 +----------------+ | | | | | "clientA" | | +-----------+ | | +-----------+ | | | | | | | | eth0 +------------------+ | | | "clientB" | +-----------+ Der "Server" bietet folgende Dienste: - SAMBA-Fileserver - Druckerserver - Router mit firewall mit DSL-Anschluss - voll funktionierende Workstation, d.h. ° Mailclient ° http, ftp ° Staroffice ° DTP (Sannen, gPhoto, Drucken ...) Wir ergänzen die Regelkette also mit Source-NAT (Masquerading): + / \ / \ / \ +---------+ / \ | | +---------+ incoming / \ | FORWARD | | POST- | outgoing ---------->+ routing? +--->+ REGEL- +--+--+ REGEL +----------> \ / | | ^ | S-NAT | \ / +---------+ | +---------+ \ / | \ / | \ / | + | | | | | V | +-------+-------+ +--------+-------+ | | | | | INPUT - REGEL | | OUTPUT - REGEL | | | | | +-------+-------+ +--------+-------+ | ^ | | V | LOKAL LOKAL Zusammengefasst nun also im Detail: Da auf dem "Server" auch noch nebenbei gearbeitet werden können muss, müssen die bekannten Regeln beibehalten werden: INPUT-Regel : Es kommt ein Paket von ppp0 und das Paket wird an den "lokalen Rechner" weitergegeben. FORWARD-REGEL: Es kommt ein Paket und wird an die FORWARD-REGEL weitergereicht, da das Routing im Firewall-script eingeschaltet wurde. ( echo "1" > /proc/sys/net/ipv4/ip_forward ) OUTPUT-REGEL : Der Rechner verschickt selbst Pakete, die konform mit dieser Regel sein muss. POST-REGEL : Im Firewall-Script wird "Masquerading" mittels ( $IPTABLES -t nat -A POSTROUTING -o $EXT -j MASQUERADE ) eingeschaltet; somit werden Pakete, die den Router via ppp0 verlassen maskiert, Die rückwärtige Richtung wird über das Kernel-Modul ip-conntrack automatisch Adressmäßig wieder umgeschrieben, so daß das Paket zum "verursachenden" Host zurückgeschickt wird. Zusätzliche muss für den SAMBA- und Printserver-Betrieb sichergestellt werden, daß die betreffenden Ports vom lokalen Netzwerk in Richtung Router/Server offen sind, aber von Richtung Internet aus, diese Port nicht erreichbar sind. So und dann sollte es auch mit den gewünschten Diensten am "Server/Router" klappen _U_N_D_ die clients im lokalen Netzwerk können auch surfen, mailen, speichern und drucken. Andreas, ich danke Dir nochmals für Deine aufopfernde Hilfe und wenn'S jemanden interessiert, dann bekommt er auch den firewall-script meiner beschriebenen Konfiguration; ggf. einfach melden .... Na denn, wie Meister Röhrich sagen würde "Na denn Prost ...!" Pfiadseichallemidananda! BC -- Michael Nausch Anzinger Str. 20 85586 Poing +49-8121-971940 (voice) +49-8121-971941 (fax) http://omni128.de michael@nausch.org