Hallo zusammen, und wieder mal blickt der Toenies nicht mehr durch :-((. Ich habe vor, diese Maschine (erst einmal ohne Firewall) als Router zu konfigurieren, so dass aus dem LAN Zugriff auf's Internet moeglich ist. Also habe ich das Masquerading installiert, Kernel gebacken, konfiguriert (so wie es hier durch die Liste ging und auch im HowTo steht) und aktiviert; beim booten kommt eine entsprechende Erfolgsmeldung. Auf einer Win-Kiste diesen (192.168.0.100) als Gateway eingetragen. Trotzdem kommt keine Verbindung zustande. Ein ping auf den Nameserver von t-online bringt nur die Meldung: "Request timed out", NS meldet, dass die angegebene URL nicht gefunden werden kann. Ich versuch das alles mit SuSE 6.0, Kernel 2.0.36. In der /etc/rc.config steht: MSQ_START="yes" MSQ_NETWORKS="192.168.0.0/24" MSQ_DEV="ppp0" MSQ_MODULES="ip_masq_cuseeme ip_masq_ftp ip_masq_irc ip_masq_quake ip_masq_raudio ip_masq_vdolive" # # Start des IP-Forwarding # IP_FORWARD=yes Nach allem, was ich bisher gelesen habe, auch die Fehlermoeglichkeiten in der SDB treffen nicht zu, muesset das alles richtig sein. Wo liegt der Fehler? -- Gruss an Alle Uwe -- uwe.toenies@t-online.de Diese Mail wurde total M$-frei erstellt Registrierter Linux-User 125085 -- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfügbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
Moin, ich vermute mal du hast die ipfwadm/ipchains Regeln vergessen, die deine Pakete auch dahinschleusen wo sie hinsollen. Am/Um 18:06 30.08.1999 +0200 schrieben Sie:
Nach allem, was ich bisher gelesen habe, auch die Fehlermoeglichkeiten in der SDB treffen nicht zu, muesset das alles richtig sein.
- Think global - http://www.egelsbach.nu http://www.paritaet.org/user/matthias -- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfügbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
On Tue, Aug 31, 1999 at 08:03:22AM +0200, Matthias Strack wrote:
Moin,
ich vermute mal du hast die ipfwadm/ipchains Regeln vergessen, die deine Pakete auch dahinschleusen wo sie hinsollen. Komisch.. Bei mir geht's auch ohne die entsprechenden Regeln..
Allerings habe ich den Squid zu laufen.. Wäre vielleicht ne Anregung.. ;) -- To Mucki and Nane: Hope you feel well.. -- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfügbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
tjahaaa...aber da funzt halt nur http, wenn du ins IRC willst siehst du mit Squid alt aus :) Am/Um 09:05 31.08.1999 +0200 schrieben Sie:
On Tue, Aug 31, 1999 at 08:03:22AM +0200, Matthias Strack wrote: Bei mir geht's auch ohne die entsprechenden Regeln..
Allerings habe ich den Squid zu laufen.. Wäre vielleicht ne Anregung.. ;)
- Think global - http://www.egelsbach.nu http://www.paritaet.org/user/matthias -- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfügbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
Hallo, Goran Ristic wrote:
Allerings habe ich den Squid zu laufen.. Wäre vielleicht ne Anregung.. ;)
Wobei ihm Squid eben nur HTTP an den Clients zur Vefuegung stellt. Und wenn er IRC, usw. auch moechte oder nur bei einem externen "Mail-Provider" via POP3 zugreifen moechte, braucht er IP-Masquerading. Wir haben auf einer Maschine eine Kombination aus SQUID und Masquerading, d.h. HTTP geht ueber SQUID und der Rest wird per Masquerading nach draussen geleitet. Damit der SQUID nicht ueber das Masquerading umgangen werden kann, habe ich die Firewall-Rules entsprechend gesetzt und das Forwarden von HTTP verboten. Damit haben wir einerseits (fast) alle Protokolle zur Verfuegung und andererseits koennen wir die beschleunigende Wirkung des SQUID-Proxy-Caches nutzen (vor allem, wenn Webseite mehrfach aufgerufen wird, was im Unterrichtsbetrieb ja haeufig der Fall ist). Gruss, Steffen -- Steffen Moser eMail: <moser@egu.schule.ulm.de> Registered Linux User: #130716 WWW: http://www.egu.schule.ulm.de [http://counter.li.org] -- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfügbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
Hallo, ist ja soweit OK, obwohl ich die Konstellation so noch nicht gesehne/gehört hab. Und rein mit POP? Ganz normal mir fetchmail holt der router sich die Post und läßt sie mit procmail auf die Maschinen verteilen.
Allerings habe ich den Squid zu laufen.. Wäre vielleicht ne Anregung.. ;)
Wobei ihm Squid eben nur HTTP an den Clients zur Vefuegung stellt. Und wenn er IRC, usw. auch moechte oder nur bei einem externen "Mail-Provider" via POP3 zugreifen moechte, braucht er IP-Masquerading.
Wie könnte ich das denn bewerkstelligen wenn ich ohne Squid arbeiten möchte? Nur IP-Masquerading ist doch nicht ausreichend. Oder doch?
Wir haben auf einer Maschine eine Kombination aus SQUID und Masquerading, d.h. HTTP geht ueber SQUID und der Rest wird per Masquerading nach draussen geleitet. Damit der SQUID nicht ueber das Masquerading umgangen werden kann, habe ich die Firewall-Rules entsprechend gesetzt und das Forwarden von HTTP verboten.
-- MfG, Clemens ------------------------------------------------------- E-Mail: c.wohld@ndh.net c.wohld@gmx.de Registered Linux-user # 29112 ------------------------------------------------------- -- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfügbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
Hallo, Clemens Wohld wrote:
Wie könnte ich das denn bewerkstelligen wenn ich ohne Squid arbeiten möchte? Nur IP-Masquerading ist doch nicht ausreichend. Oder doch?
Du kannst mit reinem IP-Masquerading beispielsweise einem lokalen Netz einen Internetzugang verschaffen. Dazu brauchst Du nur eine offizielle (wohl dynamisch vom Provider zugewiesene) IP-Adresse an der Masquerading-Maschine. Auch "http" ist moeglich. Dafuer brauchst Du den SQUID nicht unbedingt. Der wuerde durch seine Caching-Funktion eben die Zugriffe beschleunigen, wenn man mit mehreren Clients immer wieder dieselben Webseiten besucht. Das kann Masquerading nicht. Gruss, Steffen -- Steffen Moser eMail: <moser@egu.schule.ulm.de> Registered Linux User: #130716 WWW: http://www.egu.schule.ulm.de [http://counter.li.org] -- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfügbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
Uwe Toenies wrote:
Hallo zusammen,
und wieder mal blickt der Toenies nicht mehr durch :-((.
Ich habe vor, diese Maschine (erst einmal ohne Firewall)
[...] Das geht in die Hose, laut Kernel-Doku geht Masquerading ab 2.2.0 nur noch in Verbindung mit der Firewall. Also back den Kernel mit Firewall, schalt das Teil ein (rc.config nicht vergessen), installier ipchains und freu Dich. Später kannst Du nach Belieben eigene Regeln definieren um Zugriffe zu beschränken. Bye Andreas -- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfügbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
Hallo, Andreas Bock wrote:
Das geht in die Hose, laut Kernel-Doku geht Masquerading ab 2.2.0 nur noch in Verbindung mit der Firewall. Also back den Kernel mit Firewall, schalt das Teil ein (rc.config nicht vergessen), installier ipchains und freu Dich. Später kannst Du nach Belieben eigene Regeln definieren um Zugriffe zu beschränken.
AFAIK ist es gar nicht moeglich, im Kernel die Unterstuetzung fuer IP-Masquerading zu aktivieren, wenn kein IP-Firewalling aktiv ist. Wenn ich mich richtig erinnere, war da auch zu Zeiten von Kernel 2.0 schon so. Der wesentliche Unterschied ist, dass bei Kernel 2.2 das Programm "ipchains" verwendet werden muss und bei Kernel 2.0 das Utility "ipfwadm". Die Syntax ist verschieden. Anders ist auch, dass bei 2.2 das IP-Forwarding im Kernel-Code immer aktiv ist und zur Laufzeit aktivert/deaktiviert werden kann. Bei Kernel 2.0 muss IP-Forwarding (wenn es gebraucht wird) beim Kompilieren aktiviert/deaktiviert werden. Gruss, Steffen -- Steffen Moser eMail: <moser@egu.schule.ulm.de> Registered Linux User: #130716 WWW: http://www.egu.schule.ulm.de [http://counter.li.org] -- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfügbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
Hallo, Uwe Toenies wrote:
Ich habe vor, diese Maschine (erst einmal ohne Firewall) als Router zu konfigurieren, so dass aus dem LAN Zugriff auf's Internet moeglich ist.
IP-Masquerading ist ein Teil des Firewallings. Auch die Rules werden mit denselben Befehlen gesetzt.
Ich versuch das alles mit SuSE 6.0, Kernel 2.0.36. In der /etc/rc.config steht:
MSQ_START="yes" MSQ_NETWORKS="192.168.0.0/24" MSQ_DEV="ppp0" MSQ_MODULES="ip_masq_cuseeme ip_masq_ftp ip_masq_irc ip_masq_quake ip_masq_raudio ip_masq_vdolive"
Nach allem, was ich bisher gelesen habe, auch die Fehlermoeglichkeiten in der SDB treffen nicht zu, muesset das alles richtig sein.
Ich wuerde mal versuchen, das Masquerading manuell zu aktivieren: ipfwadm -F -f ipfwadm -F -a accept -m -P all -S 192.168.0.0/24 -D 0/0 Und schauen, ob es dann funktioniert. Wenn das geht, ist erst mal der Kernel, usw. richtig konfiguriert. Dann muesste man mal nach Problemen in den Start-Skripten oder in der "/etc/rc.config" suchen. Wobei ich beispielsweise unsere Firewall und damit auch unser Masquerading ueber ein manuell geschriebenes Skript (mit "ipchains"-Rules) starte und mich deshalb mit der Firewall-Konfiguration ueber "rc.config" nicht so gut auskenne. Funktioniert ein "ping" von den Win98-Maschinen auf den Linux-Rechner? Sind die Devices richtig aufgesetzt? Gruss, Steffen -- Steffen Moser eMail: <moser@egu.schule.ulm.de> Registered Linux User: #130716 WWW: http://www.egu.schule.ulm.de [http://counter.li.org] -- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfügbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
participants (6)
-
bock@nupis.de -
c.wohld@ndh.net -
g.ristic@berlin.de -
matthias@egelsbach.nu -
moser@egu.schule.ulm.de -
Uwe.Toenies@t-online.de