Hallo Liste, im Anschluß an einen Masquerading-Thread, der hier gerade läuft, die folgende Frage: Über Yast2 (rc.config-Editor) habe ich REJECT_ALL_INCOMING_CONNECTIONS auf "ippp0 masq" gesetzt, was laut Doku "will reject all connection attempts to the ippp0 interface but not the ethernet interface. All outbound traffic gets masqueraded" Dies sollte also einfaches Masquerading aktivieren, sprich Rechnern aus meinem lokalen Netz ermöglichen, über diesen Rechner als Standardgateway ins Web zu gelangen. IP_FORWARD steht ebenfalls auf yes. Dennoch gelingt dies nicht. Ich kann mittels tcpdump beobachten, daß die Anfragen auf meinem Rechner ankommen, die Pakete kommen jedoch nicht zu den anfragenden Rechnerz zurück. Ist denn die SuSEpersonal-Firewall mit der obigen Angabe unter REJECT_ALL_INCOMING_CONNECTIONS bereits aktiviert? Was fehlt noch? (Kernel 2.4.10). - Matthias
Hi, On Sonntag, Oktober 21, 2001 at 19:12:09, Matthias Kleine wrote:
im Anschluß an einen Masquerading-Thread, der hier gerade läuft, die folgende Frage:
Über Yast2 (rc.config-Editor) habe ich REJECT_ALL_INCOMING_CONNECTIONS auf "ippp0 masq" gesetzt, was laut Doku
"will reject all connection attempts to the ippp0 interface but not the ethernet interface. All outbound traffic gets masqueraded"
Dies sollte also einfaches Masquerading aktivieren, sprich Rechnern aus meinem lokalen Netz ermöglichen, über diesen Rechner als Standardgateway ins Web zu gelangen. IP_FORWARD steht ebenfalls auf yes. Dennoch gelingt dies nicht.
Ich kann mittels tcpdump beobachten, daß die Anfragen auf meinem Rechner ankommen, die Pakete kommen jedoch nicht zu den anfragenden Rechnerz zurück.
Ist denn die SuSEpersonal-Firewall mit der obigen Angabe unter REJECT_ALL_INCOMING_CONNECTIONS bereits aktiviert?
Was fehlt noch? (Kernel 2.4.10).
ipchains -L ? Henne -- Hendrik Vogelsang aka Henne mailto: hvogel@hennevogel.de I am Jack's inflamed sense of rejection # fightclub sigs made with fortune
Am Sonntag, 21. Oktober 2001 19:42 schrieb Henne Vogelsang:
Was fehlt noch? (Kernel 2.4.10).
ipchains -L ?
Uurgh! Mit 2.4.10? Da müßte ich jetzt wohl erst das ipchains Abwärtskompatibilitätsmodul insmodden, aber wie heißt das Ding? Eigentlich will man ja auch nicht ipchains mit 2.4.x benutzen, oder basiert die personal firewall etwa darauf? - Matthias -- LPI Level 1 Certified http://www.selflinux.de
Hi, On Sonntag, Oktober 21, 2001 at 19:57:37, Matthias Kleine wrote:
Am Sonntag, 21. Oktober 2001 19:42 schrieb Henne Vogelsang:
Was fehlt noch? (Kernel 2.4.10).
ipchains -L ?
Uurgh! Mit 2.4.10? Da müßte ich jetzt wohl erst das ipchains Abwärtskompatibilitätsmodul insmodden, aber wie heißt das Ding? Eigentlich will man ja auch nicht ipchains mit 2.4.x benutzen, oder basiert die personal firewall etwa darauf?
In dem fall dann eben iptables -L Das tut die personal-firewall alleine. Im init script ist ne kernel abfrage. Henne p.s. insmodden. geil ;) -- Hendrik Vogelsang aka Henne mailto: hvogel@hennevogel.de I say stop being perfect. # fightclub sigs made with fortune
Am Sonntag, 21. Oktober 2001 20:13 schrieben Sie:
In dem fall dann eben iptables -L
Das sagt: delphin:~ # iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination devchain all -- anywhere anywhere Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain devchain (1 references) target prot opt source destination rulchain all -- anywhere anywhere Chain maschain (0 references) target prot opt source destination Chain rulchain (1 references) target prot opt source destination DROP udp -- anywhere anywhere udp dpt:sunrpc DROP udp -- anywhere anywhere udp dpt:7741 DROP udp -- anywhere anywhere udp dpt:filenet-tms ACCEPT udp -- 217.5.115.141 anywhere udp spt:domain ACCEPT udp -- 194.25.2.129 anywhere udp spt:domain DROP icmp -- anywhere anywhere icmp redirect DROP udp -- anywhere anywhere LOG tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN LOG level warning REJECT tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN reject-with tcp-reset Leider nix wissen ich von iptables. Ich dachte, die personal firewall würde sich hier um die richtige policy kümmern.
p.s. insmodden. geil ;)
Was man sich so angewöhnt ... - Matthias -- LPI Level 1 Certified http://www.selflinux.de
Hi, On Sonntag, Oktober 21, 2001 at 21:02:08, Matthias Kleine wrote:
Am Sonntag, 21. Oktober 2001 20:13 schrieben Sie:
In dem fall dann eben iptables -L
Das sagt:
[REGELN]
Ich versteh zwar nich viel von iptables aber irgendwie scheint mit hier kein masquerading betrieben zu werden. Schonmal `rcpersonal-firewall restart` versucht? Vorher vieleicht ein iptables -F oder so. Henne -- Hendrik Vogelsang aka Henne mailto: hvogel@hennevogel.de What you have to consider is the possibility that God doesn't like you. Could be, God hates us. This is not the worst thing that could happen. # fightclub sigs made with fortune
* Sonntag, 21. Oktober 2001 um 21:58 (+0200) schrieb Henne Vogelsang:
On Sonntag, Oktober 21, 2001 at 21:02:08, Matthias Kleine wrote:
Am Sonntag, 21. Oktober 2001 20:13 schrieben Sie:
In dem fall dann eben iptables -L
Das sagt:
[REGELN]
Ich versteh zwar nich viel von iptables aber irgendwie scheint mit hier kein masquerading betrieben zu werden.
Bei 'iptables -L' wird die NAT-Table nicht mit angezeigt. Um sie zu
sehen, dient 'iptables -L -t nat'.
Gruß
Andreas
--
Andreas Könecke "Andreas Koenecke
Am Sonntag, 21. Oktober 2001 22:22 schrieb Andreas Koenecke: [Routing/Masquerading funktioniert nicht]
Bei 'iptables -L' wird die NAT-Table nicht mit angezeigt. Um sie zu sehen, dient 'iptables -L -t nat'.
Sagt bei mir delphin:/home/matthias # iptables -L -t nat Chain PREROUTING (policy ACCEPT) target prot opt source destination Chain POSTROUTING (policy ACCEPT) target prot opt source destination MASQUERADE all -- anywhere anywhere Chain OUTPUT (policy ACCEPT) target prot opt source destination Any hints? - Matthias -- LPI Level 1 Certified http://www.selflinux.de
* Sonntag, 21. Oktober 2001 um 22:53 (+0200) schrieb Matthias Kleine:
delphin:/home/matthias # iptables -L -t nat
Chain POSTROUTING (policy ACCEPT) target prot opt source destination MASQUERADE all -- anywhere anywhere
Damit ist Masquerading eingeschaltet. Probiere doch nochmal mit
'iptables -L -t nat -v', ob auch das richtige Device "masqueriert"
wird.
Wenn das auch stimmt, würde ich den Fehler an anderer Stelle vermuten,
da die FORWARD-Chain auf deinem Rechner alles akzeptiert und nur die
für das Routing/Masquerading filtert.
Gruß
Andreas
--
Andreas Könecke "Andreas Koenecke
Matthias Kleine schrieb am 21.10.2001 um 22:53:13 +0200: Hallo Matthias,
Am Sonntag, 21. Oktober 2001 22:22 schrieb Andreas Koenecke:
[Routing/Masquerading funktioniert nicht]
Bei 'iptables -L' wird die NAT-Table nicht mit angezeigt. Um sie zu sehen, dient 'iptables -L -t nat'.
Sagt bei mir
delphin:/home/matthias # iptables -L -t nat Chain PREROUTING (policy ACCEPT) target prot opt source destination
Chain POSTROUTING (policy ACCEPT) target prot opt source destination MASQUERADE all -- anywhere anywhere
Chain OUTPUT (policy ACCEPT) target prot opt source destination
sieht eigentlich OK aus. Hast Du forwarding aktiviert? Was sagt ein: cat /proc/sys/net/ipv4/ip_forward Da sollte was > 0 rauskommen. Wenn es daran auch nicht liegt, stoppe mal die SuSE-Firewall und gib einfach ein: iptables -t NAT -A POSTROUTING -o eth0 -j MASQUERADE ein und probier das dann nochmal. Mit dieser einen Zeile muß es laufen. eth0 mußt Du vielleicht anpassen. Das ersetzt natürlich keine Firewall, aber zum testen ob Masq. funktioniert reicht es. Bis denne, Michael -- ---------------------------------------------------------- Michael Schulz, Institut f. Geophysik, Universität Münster Corrensstr. 24, 48149 Münster Tel.: 0251-8333938, e-mail: michael@earth.uni-muenster.de
Am Montag, 22. Oktober 2001 09:28 schrieb Michael Schulz:
cat /proc/sys/net/ipv4/ip_forward
Da sollte was > 0 rauskommen.
Yep, ist 1.
Wenn es daran auch nicht liegt, stoppe mal die SuSE-Firewall und gib einfach ein:
iptables -t NAT -A POSTROUTING -o eth0 -j MASQUERADE
Aha, da kommen wir der Sache vielleicht näher: # iptables -t NAT -A POSTROUTING -o eth0 -j MASQUERADE iptables v1.2.2: can't initialize iptables table `NAT': Table does not exist (do you need to insmod?) Perhaps iptables or your kernel needs to be upgraded. Insmodden muß ich nicht: # insmod ./kernel/net/ipv4/netfilter/iptable_nat.o insmod: a module named iptable_nat already exists Also muß es was mit jener NAT table zu tun haben. Da muß ich mich jetzt wohl doch mal in Sachen iptables schlau machen... - Matthias -- LPI Level 1 Certified http://www.selflinux.de
Am Montag, 22. Oktober 2001 09:28 schrieb Michael Schulz:
iptables -t NAT -A POSTROUTING -o eth0 -j MASQUERADE
ging nicht, wegen NAT in uppercase. Mit nat (lowercase) geht das Kommando. Allerdings sollte wohl statt eth0 ippp0 verwendet werden, also # iptables -t nat -A POSTROUTING -o ippp0 -j MASQUERADE und das tat das Gewünschte. Warum jetzt die personal firewall nicht ging, ist damit für mich noch nicht geklärt, aber immerhin FUNZT das jetzt ;-). - Matthias -- LPI Level 1 Certified http://www.selflinux.de
Matthias Kleine schrieb am 22.10.2001 um 19:17:24 +0200: Hallo Matthias,
Am Montag, 22. Oktober 2001 09:28 schrieb Michael Schulz:
iptables -t NAT -A POSTROUTING -o eth0 -j MASQUERADE
ging nicht, wegen NAT in uppercase. Mit nat (lowercase) geht das Kommando. Allerdings sollte wohl statt eth0 ippp0 verwendet werden, also
# iptables -t nat -A POSTROUTING -o ippp0 -j MASQUERADE
hatte ich ja geschrieben, eth0 musst Du vieleicht anpassen :-)
und das tat das Gewünschte. Warum jetzt die personal firewall nicht ging, ist damit für mich noch nicht geklärt, aber immerhin FUNZT das jetzt ;-).
da kann ich jetzt auch nicht mehr weiterhelfen, da ich die SuSE personal-firewall auch nicht kenne. Bis denne, Michael -- ---------------------------------------------------------- Michael Schulz, Institut f. Geophysik, Universität Münster Corrensstr. 24, 48149 Münster Tel.: 0251-8333938, e-mail: michael@earth.uni-muenster.de
Hi, ich bin mir nicht sicher ob dies dir helfen kann. Aber im masquerading script von SuSE ist m.E. ein Fehler drin: Es wird ein device ($WORLD_DEV) masquiert was nicht gehen kann. Es kann nur eine IP-Adresse masquiert werden. Ich habe diesbezgl. schon mit einigen aus der Support-Ecke gesprochen (Fa. Grundig, Lucent) die mir das bestätigt haben. SuSE bzw. der entsprechende Support ist da etwas bockig und will nicht sein Script korrigieren. Da ich sowohl mit dem masquerading als auch mit dem firewall keine Verbindung herbekommen habe, der Linux-TDSL-Server aber nun funktioniert habe ich eine kleine Anleitung geschrieben: http://home.t-online.de/home/mlootz/linux.htm Gruß Michael
participants (5)
-
Andreas Koenecke
-
Henne Vogelsang
-
Matthias Kleine
-
Michael Lootz
-
Michael Schulz