einfaches IP-Masquerading unter SuSE 7.3 kostet Nerven
Hallo, ich habe meinen Linux-Rechner, der als Gateway für ein kleines Windows-Netz fungiert auf SuSE 7.3 umgestellt, d.h. neu installiert. Vom Linux-Rechner aus funktioniert der Netzzugang problemlos. Die Windows-Rechner haben den Linux-Rechner als Gateway und können auf Dienste wie Ftp-Server, Samba, Squid, lokaler Nameserver zugreifen. Das Problem beginnt, wenn ich versuche für das Intranet ein simples IP-Masquerading einzurichten, das es den Clients erlauben soll, ftp, ping oder irc u.Ä. zu machen. Ich will zunächst gar keine Firewall-Funktionen, sondern nur einen kompletten Netzzugang für meine Windowsrechner. Inzwischen habe ich alle möglichen Fire-wall-Scripts von SuSE ausprobiert (personal, fw, fw2) Ich komme einfach nicht weiter. Die Windowsrechner können nicht mal einen nslookup machen, wenn die Firewall läuft. Deswegen bräuchte ich mal Hilfe für ein systematisches Checksystem, um den Fehler zu finden. 1. Ich habe in der rc.config IP_FORWARD="yes" gesetzt. 2. Eigentlich müsste das Masquerading jetzt doch schon mit iptables -t nat -A POSTROUTING -o ippp0 -j MASQUERADE laufen. Es geht aber nicht. Das Problem beginnt schon beim Nameserver-Lookup, der auf den Clients nicht funktioniert, auf dem Linux-Server aber schon. 3. Was könnte denn grundsätzlich nach stundenlangem Herumexperimentiern mit den FW-Einstellungen verkonfiguriert sein? Was darf, muss in etc/resolv.conf / route.conf stehen??? Ich könnte mir vorstellen, dass irgendjemand genau das gleiche Problem gelöst hat. Wenn ja, wie?
Hallo Andreas, guck mal auf www.wolfgarten.com, dort habe ich die erste (sehr ausführlich kommentierte) Version meiner auf iptables-basierenden Firewall ins Internet gestellt. Gruß Sebastian
hi, On Tue, Jan 01, 2002 at 03:26:36PM +0100, Andreas Walther wrote: sollte so klappen:
iptables -t nat -A POSTROUTING -o ippp0 -j MASQUERADE und echo "1" > /proc/sys/net/ipv4/ip_forward
allerdings weiss ich nicht was susefirewall noch fuer regeln macht. ciao sascha -- Sascha Andres linux@programmers-world.com http://www.programmers-world.com
On Tue, 1 Jan 2002 15:26:36 +0100 Andreas Walther <andreas_walther@web.de> wrote:
Hallo,
ich habe meinen Linux-Rechner, der als Gateway für ein kleines Windows-Netz fungiert auf SuSE 7.3 umgestellt, d.h. neu installiert.
Vom Linux-Rechner aus funktioniert der Netzzugang problemlos.
Die Windows-Rechner haben den Linux-Rechner als Gateway und können auf Dienste wie Ftp-Server, Samba, Squid, lokaler Nameserver zugreifen.> Das Problem beginnt, wenn ich versuche für das Intranet ein simples IP-Masquerading einzurichten, das es den Clients erlauben soll,> ftp, ping oder irc u.Ä. zu machen. Ich will zunächst gar keine Firewall-Funktionen, sondern nur einen kompletten Netzzugang für meine Windowsrechner.>
Inzwischen habe ich alle möglichen Fire-wall-Scripts von SuSE ausprobiert (personal, fw, fw2)
Ich komme einfach nicht weiter. Die Windowsrechner können nicht mal einen nslookup machen, wenn die Firewall läuft. Wissen denn die Win-Rechner, welchen DNS-Server sie befragen sollen? Ist ein Gateway angegeben?
Gruss Lars
Am Die, 2002-01-01 um 15.26 schrieb Andreas Walther:
Hallo,
ich habe meinen Linux-Rechner, der als Gateway für ein kleines Windows-Netz fungiert auf SuSE 7.3 umgestellt, d.h. neu installiert.
Vom Linux-Rechner aus funktioniert der Netzzugang problemlos.
Die Windows-Rechner haben den Linux-Rechner als Gateway und können auf Dienste wie Ftp-Server, Samba, Squid, lokaler Nameserver zugreifen.
Das Problem beginnt, wenn ich versuche für das Intranet ein simples IP-Masquerading einzurichten, das es den Clients erlauben soll, ftp, ping oder irc u.Ä. zu machen. Ich will zunächst gar keine Firewall-Funktionen, sondern nur einen kompletten Netzzugang für meine Windowsrechner.
Inzwischen habe ich alle möglichen Fire-wall-Scripts von SuSE ausprobiert (personal, fw, fw2)
Ich komme einfach nicht weiter. Die Windowsrechner können nicht mal einen nslookup machen, wenn die Firewall läuft.
Deswegen bräuchte ich mal Hilfe für ein systematisches Checksystem, um den Fehler zu finden.
1. Ich habe in der rc.config IP_FORWARD="yes"
gesetzt.
Das wird so nicht sofort wirksam. Mach ein echo "1" > /proc/sys/net/ipv4/ip_forward das funktioniert dann sofort.
2. Eigentlich müsste das Masquerading jetzt doch schon mit
iptables -t nat -A POSTROUTING -o ippp0 -j MASQUERADE
laufen. Es geht aber nicht. Das Problem beginnt schon beim Nameserver-Lookup, der auf den Clients nicht funktioniert, auf dem Linux-Server aber schon.
Was zeigt denn ein iptables -L? Steht da was wie Chain FORWARD (policy DROP) und dann aber keine Regeln mehr? Dann wird das nichts, weil alle Pakete verworfen werden. Entweder du stellst die default policy auf ACCEPT, oder du mußt Regeln setzen, damit die Pakete geforwardet werden. Da hing es bei mir auch. -- mfg Peter Küchler Registrierter Linux-User #127408
participants (5)
-
Andreas Walther -
Lars Mucha -
Peter Kuechler -
Sascha Andres -
Sebastian Wolfgarten