Zaurus, Nat, Routing, Firewall und NFS
Hallo Liste, ich habe folgendes Problem: einen Rechner (Suse 8.0) mit zwei Netzwerkkarten - eine "normale" auf eth0 mit IP 192.168.0.xxx /Gateway 192.168.0.yyy - eine USB-Schnittstellle, "auf der TCP/IP läuft" (dient zur Verbindung mit einem Zaurus PDA) mit IP 192.168.1.xxx Von diesem Rechner komme ich über einen Router (fli4l, Gateway mit IP 192.168.0.yyy) ins Internet. So weit so gut. Nun möchte ich auch von dem Zaurus (IP 192.168.1.zzz) aus ins Internet. Dazu habe ich folgendes versucht: Auf dem Rechner über YAST in der Sysconfig in der Kategorie Network/Base/IP das IP_Forwarding "eingeschaltet" und bin dem Howto auf http://www.ruault.com/Zaurus/ethernet-over-usb-howto.html gefolgt, welches meinte, dass folgende dinge zu tun wären 1. ifconfig usb0 192.168.1.xxx netmask 255.255.255.0 up 2. route add -host 192.168.1.zzz usb0 3. iptables -t nat -F 4. iptables -t nat -A POSTROUTING -j SNAT -o eth0 --to 192.168.0.5 5. echo 1 > /proc/sys/net/ipv4/ip_forward zu 1. Konnte ich mir sparen, da Hotplug bereits die IP-Adresse beim Einstecken des Zaurus vergibt. zu 2. Die Route wird auch durch Hotplug eingetragen jedenfalls wird sie mit route angezeigt. zu 3-5. So eingegeben, keine Fehlermeldung oder sonstiges. Resultat hiernach: Kein Internet mit dem Zaurus :-( Dann habe ich mich an eine Mail auf dieser Liste hier erinnert und die SuSEfirewall mit YAST konfiguriert (extern eth0, intern usb0 - keine Dienste - Traceroute erlauben, Daten weiterleiten und Masquerading durchführen) Firewall gestartet, Resultat Internet mit Zaurus :-) , aber kein Zugriff auf meine NFS Laufwerke mehr :-(( (was ja wohl durch eine Firewall nicht bzw. nur relativ kompliziert geht) Nach der langen Rede meine Frage: Was mache ich falsch, dass das Routing bzw. NAT nur bei eingeschalteter Firewall funktioniert, denn ich möchte meine NFS Lw weiterhin benutzen? Ich brauche die Firewall auf dem betreffenden Rechner nämlich eigentlich nicht, da mein GW-Rechner bereits über eine Firewall verfügt, und ich intern alleiniger Nutzer aller Rechner bin. Bin für jeden Denkanstoss dankbar.
Am Mittwoch, 2. Juni 2004 07:03 schrieb Frank Bertling:
Hallo Liste,
ich habe folgendes Problem: schnipp
schnapp
Was mache ich falsch, dass das Routing bzw. NAT nur bei eingeschalteter Firewall funktioniert, denn ich möchte meine NFS Lw weiterhin benutzen? Ich brauche die Firewall auf dem betreffenden Rechner nämlich eigentlich nicht, da mein GW-Rechner bereits über eine Firewall verfügt, und ich intern alleiniger Nutzer aller Rechner bin.
Hatte ein ähnliches Problem. Kuck dir mal den Thread an. http://lists.suse.com/archive/suse-linux/2004-Apr/1657.html HTH Andy
Am Mittwoch, 2. Juni 2004 09:33 schrieb Andreas Schott:
Am Mittwoch, 2. Juni 2004 07:03 schrieb Frank Bertling:
Hallo Liste,
ich habe folgendes Problem:
schnipp
schnapp
Was mache ich falsch, dass das Routing bzw. NAT nur bei eingeschalteter Firewall funktioniert, denn ich möchte meine NFS Lw weiterhin benutzen? Ich brauche die Firewall auf dem betreffenden Rechner nämlich eigentlich nicht, da mein GW-Rechner bereits über eine Firewall verfügt, und ich intern alleiniger Nutzer aller Rechner bin.
Hatte ein ähnliches Problem. Kuck dir mal den Thread an.
Habe ich gemacht und daraufhin folgendes Script gebaut #!/bin/bash IPT="/usr/sbin/iptables" int=eth0 # Alte Regeln löschen $IPT -F # vorh. Filter löschen $IPT -t nat -F # vorh. NAT löschen $IPT -X # vorh. Regelketten löschen $IPT -P INPUT ACCEPT # alle Inputs erlauben $IPT -P FORWARD ACCEPT # alle Weiterleitungen erlauben $IPT -P OUTPUT ACCEPT # alle Outputs erlauben # Masquerading aktivieren $IPT -t nat -A POSTROUTING -o $int -j MASQUERADE Soweit funktioniert alles. Nun aber die Fragen 1.) Wo baue ich das Teil ein, damit es automatisch beim Hotplug ausgeführt wird? 2.) Wie kann ich das Masquerading dann wieder abschalten (und das natürlich am liebsten auch automatisch beim Hot-Ent-plug?
HTH
Schon mal bis zum Funktionieren. Nun kommt noch die Automation... Frank
Am Mittwoch, 2. Juni 2004 07:03 schrieb Frank Bertling:
Hallo Liste,
Hallo Frank,
ich habe folgendes Problem: [...]
Auf den Thread "Verständnisfrage Router" hat Andreas ja schon hingewiesen. Eine Zusammenfassung der damaligen Lösung: a) Firewall einschalten. b) Masquerading (NAT) in der Firewall aktivieren (damit der Internetzugang funktioniert). c) Alle Ports freischalten, so dass Deine Firewall _alles_ herein- und herauslässt. (Damit dann solche Dinge wie NFS auch funktionieren. Du brauchst ja eigentlich nur das Masquerading, nicht die Firewall als solche...) Viele Grüße, Marcus -- - Inhaltliche Antworten bitte nur an die Mailingliste. - Die Spielregeln: http://www.suse-etikette.de.vu/
Am Mittwoch, 2. Juni 2004 15:46 schrieb Marcus Glöder:
Am Mittwoch, 2. Juni 2004 07:03 schrieb Frank Bertling:
Hallo Liste,
Hallo Frank,
ich habe folgendes Problem: [...]
a) Firewall einschalten. b) Masquerading (NAT) in der Firewall aktivieren c) Alle Ports freischalten, so dass Deine Firewall _alles_ herein- und herauslässt. (Damit dann solche Dinge wie NFS auch funktionieren. Du brauchst ja eigentlich nur das Masquerading, nicht die Firewall als solche...)
Nur geht merkwürdigerweise NFS auch nicht, wenn ich alle Ports freischalte. Fehler oder Lösung hab ich bei mir noch nicht suchen können - keine Zeit Hoffe, dass es bei dir klappt Andy
Am Mittwoch, 2. Juni 2004 17:04 schrieb Andreas Schott: [...]
Nur geht merkwürdigerweise NFS auch nicht, wenn ich alle Ports freischalte. Fehler oder Lösung hab ich bei mir noch nicht suchen können - keine Zeit
Hoffe, dass es bei dir klappt
Andy
Hat geklappt. Auch NFS geht immer noch.. P.S. Ich habe exakt folgendes Scrip als root ausgeführt: #!/bin/bash IPT="/usr/sbin/iptables" int=eth0 # Alte Regeln löschen $IPT -F # vorh. Filter löschen $IPT -t nat -F # vorh. NAT löschen $IPT -X # vorh. Regelketten löschen $IPT -P INPUT ACCEPT # alle Inputs erlauben $IPT -P FORWARD ACCEPT # alle Weiterleitungen erlauben $IPT -P OUTPUT ACCEPT # alle Outputs erlauben # Masquerading aktivieren $IPT -t nat -A POSTROUTING -o $int -j MASQUERADE BTW: eth0 ist das Interface, das mit dem Internetgateway in einem Netz steckt. Und in einem der Scripte aus dem Thread fehlte ein Anführungszeichen am ende von IPT="..." und die Option des Masquerading aktivieren war mit .... -i $int angegeben. Da muss es wohl -o $int heissen HTH U Frank
participants (3)
-
fanclub.ostkurve@t-online.de -
Frank.Bertling@t-online.de -
Marcus Glöder