Masquerading und IPtables Frage
Hallo, ich habe einen SuSE Linux 8.1 Router, der Masquerading mit iptables auf eine DSL-Leitung macht. Meine Fragen: 1. Wie kann ich die stehenden Masquerading Verbindungen sehen? bei ipchains ging das immer mit ipchains -L -M -n oder netstat -nM, hier sagt mir netstat, dass kein Masquerading aktiviert ist. 2. Gibt es eine Möglichkeit, Masqueradung Timeouts zu setzen? Im Internet habe ich gelesen, dass das mit iptables nicht mehr gesetzt werden kann. Warum? und gibt es dafür vielleicht eine andere Möglichkeit? Mfg, Thomas
Hallo, thomas Gräber schrieb: ...
1. Wie kann ich die stehenden Masquerading Verbindungen sehen? bei ipchains ging das immer mit ipchains -L -M -n oder netstat -nM, hier sagt mir netstat, dass kein Masquerading aktiviert ist.
Das Anzeigen geht bei iptables im Prinzip über die gleichen Optionen, nur muss man die entsprechende "table" angeben, in diesem Fall "nat" (für "network address translation", sprich Masquerading). iptables -L -n -t nat Warum netstat nichts anzeigt, kann ich nur vermuten. Dort wird die Datei /proc/net/ip_masquerade ausgewertet, die wohl nur von "ipchains" angelegt wird.
2. Gibt es eine Möglichkeit, Masqueradung Timeouts zu setzen? Im Internet habe ich gelesen, dass das mit iptables nicht mehr gesetzt werden kann. Warum? und gibt es dafür vielleicht eine andere Möglichkeit? Keine Ahnung ...
Gruß, Anke -- Live long and prosper!
From: "Anke Boernig"
Hallo,
thomas Gräber schrieb: ...
1. Wie kann ich die stehenden Masquerading Verbindungen sehen? bei ipchains ging das immer mit ipchains -L -M -n oder netstat -nM, hier sagt mir netstat, dass kein Masquerading aktiviert ist.
Das Anzeigen geht bei iptables im Prinzip über die gleichen Optionen, nur muss man die entsprechende "table" angeben, in diesem Fall "nat" (für "network address translation", sprich Masquerading).
iptables -L -n -t nat dies gibt mir nur die Regeln aus, ich wollte aber eigentlich die stehenden Masquerading Verbindungen ansehen.
Warum netstat nichts anzeigt, kann ich nur vermuten. Dort wird die Datei /proc/net/ip_masquerade ausgewertet, die wohl nur von "ipchains" angelegt wird.
das stimmt, nach dieser "Datei" habe ich auch schon gesucht, die gibt es aber nicht.
2. Gibt es eine Möglichkeit, Masqueradung Timeouts zu setzen? Im Internet habe ich gelesen, dass das mit iptables nicht mehr gesetzt werden kann. Warum? und gibt es dafür vielleicht eine andere Möglichkeit? Keine Ahnung ...
Danke, Thomas
* Donnerstag, 05. Februar 2004 um 17:10 (+0100) schrieb thomas Gräber:
From: "Anke Boernig"
thomas Gräber schrieb:
Warum netstat nichts anzeigt, kann ich nur vermuten. Dort wird die Datei /proc/net/ip_masquerade ausgewertet, die wohl nur von "ipchains" angelegt wird.
das stimmt, nach dieser "Datei" habe ich auch schon gesucht, die gibt es aber nicht.
Die Informationen stehen bei 'iptables' in "/proc/net/ip_conntrack" und lassen sich "geschönt" durch Programme wie z.B. 'conntrack-viewer' und 'netstat-nat' anzeigen, die z.B. bei freshmeat durch Eingabe des Suchbegriffs "netstat" angezeigt werden.
2. Gibt es eine Möglichkeit, Masqueradung Timeouts zu setzen? Im Internet habe ich gelesen, dass das mit iptables nicht mehr gesetzt werden kann. Warum? und gibt es dafür vielleicht eine andere Möglichkeit?
Ich weiss zwar nicht, welche Timeouts du setzen willst oder was das
bewirken soll, aber unter "/proc/sys/net/ipv4/netfilter/" findest du
IMHO ausreichend Sys-Controls für diese Zwecke...
Gruß
Andreas
--
Andreas Könecke "Andreas Koenecke
From: "Andreas Koenecke"
* Donnerstag, 05. Februar 2004 um 17:10 (+0100) schrieb thomas Gräber:
From: "Anke Boernig"
thomas Gräber schrieb:
Warum netstat nichts anzeigt, kann ich nur vermuten. Dort wird die Datei /proc/net/ip_masquerade ausgewertet, die wohl nur von "ipchains" angelegt wird.
das stimmt, nach dieser "Datei" habe ich auch schon gesucht, die gibt es aber nicht.
Die Informationen stehen bei 'iptables' in "/proc/net/ip_conntrack" und lassen sich "geschönt" durch Programme wie z.B. 'conntrack-viewer' und 'netstat-nat' anzeigen, die z.B. bei freshmeat durch Eingabe des Suchbegriffs "netstat" angezeigt werden.
in die Datei habe ich mal reingeschaut, interessant, zeigt aber alle Netzwerkaktivitäten an, auch Verbindungen, die nicht geforwardet werden, aber hilft mir schon sehr weiter, danke.
2. Gibt es eine Möglichkeit, Masqueradung Timeouts zu setzen? Im Internet habe ich gelesen, dass das mit iptables nicht mehr gesetzt werden kann. Warum? und gibt es dafür vielleicht eine andere Möglichkeit?
Ich weiss zwar nicht, welche Timeouts du setzen willst oder was das bewirken soll, aber unter "/proc/sys/net/ipv4/netfilter/" findest du IMHO ausreichend Sys-Controls für diese Zwecke...
stimmt, das ist mir schon mal unter die Augen gekommen, merkwürdigerweise aber nicht auf diesem System. Auch sysctl hat mir in der Richtung nichts angezeigt. Eine Ahnung, warum das auf dem System nicht auftaucht? SuSE Linux 8.1 # rpm -qf /boot/vmlinuz k_deflt-2.4.19-340 Mfg, Thomas
* Monday, 09. February 2004 um 11:17 (+0100) schrieb thomas Gräber:
From: "Andreas Koenecke"
Die Informationen stehen bei 'iptables' in "/proc/net/ip_conntrack" und lassen sich "geschönt" durch Programme wie z.B. 'conntrack-viewer' und 'netstat-nat' anzeigen, die z.B. bei freshmeat durch Eingabe des Suchbegriffs "netstat" angezeigt werden.
in die Datei habe ich mal reingeschaut, interessant, zeigt aber alle Netzwerkaktivitäten an, auch Verbindungen, die nicht geforwardet werden, aber hilft mir schon sehr weiter, danke.
Wie geschrieben kannst du u.a. mit den oben erwähnten Programmen die Daten filtern und die Ausgabe strukturiert ausgeben lassen. Mir persönlich gefällt 'netstat-nat' am Besten.
Ich weiss zwar nicht, welche Timeouts du setzen willst oder was das bewirken soll, aber unter "/proc/sys/net/ipv4/netfilter/" findest du IMHO ausreichend Sys-Controls für diese Zwecke...
stimmt, das ist mir schon mal unter die Augen gekommen, merkwürdigerweise aber nicht auf diesem System. Auch sysctl hat mir in der Richtung nichts angezeigt. Eine Ahnung, warum das auf dem System nicht auftaucht?
k_deflt-2.4.19-340
Zu alt! Die netfilter-Sysctls gibt es erst seit 2.4.23.
Gruß
Andreas
--
Andreas Könecke "Andreas Koenecke
participants (3)
-
Andreas Koenecke
-
Anke Boernig
-
thomas Gräber