Hallo, Christian Augustat wrote:
Ich möchte meine Firewall umkonfigurieren, sodaß die Pakete des internen Netzes an das Internet weitergeleitet werden, wenn der Linuxrechner als Gateway eingetragen ist. Wie kann ich das simple aber sicher realisieren ?
Du kannst auf dem Linuxrechner das IP-Masquerading aufsetzen. Das ist unter Kernel 2.2.x mit Hilfe von Rules machbar, die mittels "ipchains" gesetzt werden koennen. Zuerst muss der Linux-Rechner generell als Gateway eingerichtet sein, d.h. es muss das Weiterleiten von IP-Paketen aktiviert sein. Das ist machbar durch einen entsprechenden Eintrag in der "/etc/rc.config": IP_FORWARD=yes Damit wird bei jedem Systemstart das Forwarding aktiviert. Wenn Du es sofort aktivieren moechtest, hilft ein: echo 1 >/proc/sys/net/ipv4/ip_forward weiter. Nun ist der Linuxrechner zwar in der Lage, IP-Pakete von einem Netz in das andere Netz zu routen. Was aber noch fehlt, ist das Maskieren von Paketen, die von internen Rechnern stammen, mit der "offiziellen" IP-Adresse der Linuxmaschine. Dieses IP-Masquerading ist notwendig, damit die Antworten auf die Pakete aus Deinem internen Netz wieder den Weg zum anfragenden Client zurueckfinden. Du kannst nun z.B. setzen: ipchains -A forward -s 192.168.1.0/24 -j MASQ Damit werden alle Pakete, die aus dem Netz "192.168.1.0/255.255.255.0" stammen und irgendwohin gehen maskiert. Du musst natuerlich die Netzwerkadresse entsprechend Deinen Gegebenheiten anpassen. Eventuell moechtest Du noch das Device m(und zwar das Device, ueber das die Internetverbindung aufgebaut ist) mit dem Parameter "-i" mitaufnehmen (z.B. "ipppx", "pppy" oder "ethz"), wobei auch das nach Deinen Gegebenheiten erfolgen muss. Hier helfen natuerlich auch "man ipchains" sowie das "IP-Masquerading-HOWTO" weiter. Ebenso bin ich mir sicher, dass Du in den Archiven dieser Liste unzaehlige Nachrichten zum Thema IP-Masquerading finden wirst. Ach ja: Natuerlich muss auch der Kernel das Masquerading beherrschen. Wenn Du einen von SuSE mitgelieferten Kernel einsetzt, sollte das kein Problem sein. Wenn Du Dir einen eigenen Kernel kompiliert hast, musst Du ggf. einen neuen kompilieren, falls Dein bisher verwendeter Kernel das Masquerading nicht beherrschen sollte. Du findest die betroffene Einstellung in den "Networking options" unter "IP: masquerading" im Kernelkonfigurationsmenue. Noch etwas: Wenn Du von Deinem internen Netz aus auch so Dinge, wie akt. "ftp", "irc", "cuseeme", usw. machen willst, musst Du dafuer noch ggf. die notwendigen "Spezial-Module" in den Kernel laden. Das sind einiger der Module, die unter "/lib/modules/<kernelversion>/ipv4" zu finden sind. Gruss, Steffen --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com