Re: Elsterformular und Linux-Router
Hallo Thomas Antepoth, [...] Elster benötigt in der augenblicklichen Version einen direkten Connect zum Elsterserver und daher läuft SQUID als Proxy nicht mit ELSTER zusammen. Stimmt, hatte in der Arbeit das selbe Problem. [...] Hat jemand schon mal so was zum Laufen bekommen? Nein. Du solltest Dich aber mit einem Anruf bei der Elster-Hotline[1] noch einmal vergewissern. 12 Wochen ist eine lange Zeit und zwischenzeitlich mag sich da durchaus etwas getan haben. Ja. Es hat sich was getan. Wie schon ein Vorposter geschrieben hat, gibt es ein Stück Java Software welches einen HTTP-Tunnel erzeugt bzw. als Proxy eingesetzt wird. Näheres ist auf der Homepage von elster.de zu finden. Gruß Thomas -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Elsterformular und Linux-Router
Werner Opriel wrote:
Ich versuche die Elsterdatenuebertragung ebenfalls ueber Linux Router aus
einem internen Netz herzustellen. Das LAN ist dabei durch eine DMZ vom
Internet getrennt. Der DMZ-Proxy ist aus den oben beschriebenen Gruenden
hier nicht im Spiel, die Elster Server werden also direkt angesprochen.
Hinweis:
Seit kurzer Zeit gibt es einen HTTP_Tunnel (benoetigt Java Webstart)
unter: https://www.elster.de/elfo_tunnel.php?tunnelversion=1.0.0
mit dem angeblich auch Squid funktionieren soll.
Folgende Regeln sollen den direkten Kontakt eines Client aus dem internen
Netz zu einem der Elsterserver ermoeglichen:
# Router LAN -- DMZ
# ---
ELSTER_PORT=8000
ELSTER_SERV=62.157.211.58 62.157.211.59 62.157.211.60 \
193.109.238.26 193.109.238.27 213.182.157.66
# Anfragen an externe Elster Server und Elster-Port gewaehren
for EP in $ELSTER_SERV
do
$IPTABLES -A FORWARD -p TCP --sport $UNPRIVPORTS -d $EP \
--dport $ELSTER_PORT -m state --state NEW,ESTABLISHED,RELATED \
-o $DMZ_IF -i $LAN_IF -j ACCEPT
done
# eingehende Pakete von Elster Servern zu bestehenden Verbindungen
# zulassen (Rueckkanal)
for EP in $ELSTER_SERV
do
$IPTABLES -A FORWARD -i $DMZ_IF -o $LAN_IF -s $EP \
-m state --state ESTABLISHED,RELATED -j ACCEPT
done
# Router DMZ -- Internet
# ---
# die Elsterformular-Upload-Server und der zugehoerige Port
ELSTER_SERVER=(62.157.211.58 \
62.157.211.59 \
62.157.211.60 \
193.109.238.26 \
193.109.238.27 \
213.182.157.66)
ELSTER_PORT=8000
# Source NAT -- (SNAT/Masquerading)
$IPTABLES -t nat -A POSTROUTING -o $EXT_IF -j MASQUERADE
# Enable IP Forwarding
echo 1 /proc/sys/net/ipv4/ip_forward
# Anfragen (TCP) mit Zielport 8000
# fuer den Zugriff auf die Elsterserver zulassen
for ES in ${ELSTER_SERVER[*]}
do
$IPTABLES -A FORWARD -p TCP --sport $UNPRIVPORTS \
--dport $ELSTER_PORT -o $EXT_IF -i $DMZ_IF -d $ES \
-m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
done
# Antworten (Rueckkanal) von Elster Servern explizit zulassen
for ES in ${ELSTER_SERVER[*]}
do
$IPTABLES -A FORWARD -i $EXT_IF -o $DMZ_IF -s $ES \
-m state --state ESTABLISHED,RELATED -j ACCEPT
done
#-
Die Verbindung kommt auch zustande, bricht allerdings nach kurzer Zeit mit
einem Timeout ab.. Ein tcpdump zeigt folgendes:
...
4.828341 192.168.10.1 - 193.109.238.27 TCP 1057 8000 [PSH, ACK]
Seq=8302 Ack=2855 Win=7667 Len=271
4.886292 193.109.238.27 - 192.168.10.1 TCP 8000 1057 [ACK] Seq=2855
Ack=3265 Win=13050 Len=0
4.887251 192.168.10.1 - 193.109.238.27 TCP 1057 8000 [PSH, ACK]
Seq=8573 Ack=2855 Win=7667 Len=596
4.892174 193.109.238.27 - 192.168.10.1 TCP [TCP Dup ACK 37#1] 8000
1057
[ACK] Seq=2855 Ack=3265 Win=13050 Len=0
4.892614 193.109.238.27 - 192.168.10.1 TCP [TCP Dup ACK 37#2] 8000
1057
[ACK] Seq=2855 Ack=3265 Win=13050 Len=0
4.893559 192.168.10.1 - 193.109.238.27 TCP [TCP Retransmission] 1057
8000 [PSH, ACK] Seq=3265 Ack=2855 Win=7667 Len=610
4.952832 193.109.238.27 - 192.168.10.1 TCP [TCP Dup ACK 37#3] 8000
1057
[ACK] Seq=2855 Ack=3265 Win=13050 Len=0
4.966322 193.109.238.27 - 192.168.10.1 TCP 8000 1057 [ACK] Seq=2855
Ack=3875 Win=14790 Len=0
5.773056 192.168.10.1 - 193.109.238.27 TCP [TCP Retransmission] 1057
8000 [PSH, ACK] Seq=3875 Ack=2855 Win=7667 Len=1460
7.578914 192.168.10.1 - 193.109.238.27 TCP [TCP Retransmission] 1057
8000 [PSH, ACK] Seq=3875 Ack=2855 Win=7667 Len=1460
11.190700 192.168.10.1 - 193.109.238.27 TCP [TCP Retransmission] 1057
8000 [PSH, ACK] Seq=3875 Ack=2855 Win=7667 Len=1460
18.414291 192.168.10.1 - 193.109.238.27 TCP [TCP Retransmission] 1057
8000 [PSH, ACK] Seq=3875 Ack=2855 Win=7667 Len=1460
32.861325 192.168.10.1 - 193.109.238.27 TCP [TCP Retransmission] 1057
8000 [PSH, ACK] Seq=3875 Ack=2855 Win=7667 Len=1460
Irgendeine Idee wo es hier zwickt?
Problem geloest !
Ich hatte ein Path MTU Discovery Problem.
Die dargestellten Regeln sind soweit ok. Wie man sehen kann wird die
Verbindung zwar aufgebaut und erste Datenpakete getauscht, aber
ab einem best. Punkt bricht die Verbindung ab.
Hier fuehrte eine zu strenge ICMP Regel (nicht abgebildet) dazu, das die
Kommunikation ueber Paketgroesse bzw. fragmentation-needed nicht zustande
kam. :-(
Die Folge war ein Timeout auf der Clientseite.
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Elsterformular und Linux-Router
Ich versuche die Elsterdatenuebertragung ebenfalls ueber Linux Router aus
einem internen Netz herzustellen. Das LAN ist dabei durch eine DMZ vom
Internet getrennt. Der DMZ-Proxy ist aus den oben beschriebenen Gruenden
hier nicht im Spiel, die Elster Server werden also direkt angesprochen.
Hinweis:
Seit kurzer Zeit gibt es einen HTTP_Tunnel (benoetigt Java Webstart) unter:
https://www.elster.de/elfo_tunnel.php?tunnelversion=1.0.0
mit dem angeblich auch Squid funktionieren soll.
Folgende Regeln sollen den direkten Kontakt eines Client aus dem internen
Netz zu einem der Elsterserver ermoeglichen:
# Router LAN -- DMZ
# ---
ELSTER_PORT=8000
ELSTER_SERV=62.157.211.58 62.157.211.59 62.157.211.60 \
193.109.238.26 193.109.238.27 213.182.157.66
# Anfragen an externe Elster Server und Elster-Port gewaehren
for EP in $ELSTER_SERV
do
$IPTABLES -A FORWARD -p TCP --sport $UNPRIVPORTS -d $EP \
--dport $ELSTER_PORT -m state --state NEW,ESTABLISHED,RELATED \
-o $DMZ_IF -i $LAN_IF -j ACCEPT
done
# eingehende Pakete von Elster Servern zu bestehenden Verbindungen
# zulassen (Rueckkanal)
for EP in $ELSTER_SERV
do
$IPTABLES -A FORWARD -i $DMZ_IF -o $LAN_IF -s $EP \
-m state --state ESTABLISHED,RELATED -j ACCEPT
done
# Router DMZ -- Internet
# ---
# die Elsterformular-Upload-Server und der zugehoerige Port
ELSTER_SERVER=(62.157.211.58 \
62.157.211.59 \
62.157.211.60 \
193.109.238.26 \
193.109.238.27 \
213.182.157.66)
ELSTER_PORT=8000
# Source NAT -- (SNAT/Masquerading)
$IPTABLES -t nat -A POSTROUTING -o $EXT_IF -j MASQUERADE
# Enable IP Forwarding
echo 1 /proc/sys/net/ipv4/ip_forward
# Anfragen (TCP) mit Zielport 8000
# fuer den Zugriff auf die Elsterserver zulassen
for ES in ${ELSTER_SERVER[*]}
do
$IPTABLES -A FORWARD -p TCP --sport $UNPRIVPORTS \
--dport $ELSTER_PORT -o $EXT_IF -i $DMZ_IF -d $ES \
-m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
done
# Antworten (Rueckkanal) von Elster Servern explizit zulassen
for ES in ${ELSTER_SERVER[*]}
do
$IPTABLES -A FORWARD -i $EXT_IF -o $DMZ_IF -s $ES \
-m state --state ESTABLISHED,RELATED -j ACCEPT
done
#-
Die Verbindung kommt auch zustande, bricht allerdings nach kurzer Zeit mit
einem Timeout ab.. Ein tcpdump zeigt folgendes:
...
4.828341 192.168.10.1 - 193.109.238.27 TCP 1057 8000 [PSH, ACK]
Seq=8302 Ack=2855 Win=7667 Len=271
4.886292 193.109.238.27 - 192.168.10.1 TCP 8000 1057 [ACK] Seq=2855
Ack=3265 Win=13050 Len=0
4.887251 192.168.10.1 - 193.109.238.27 TCP 1057 8000 [PSH, ACK]
Seq=8573 Ack=2855 Win=7667 Len=596
4.892174 193.109.238.27 - 192.168.10.1 TCP [TCP Dup ACK 37#1] 8000 1057
[ACK] Seq=2855 Ack=3265 Win=13050 Len=0
4.892614 193.109.238.27 - 192.168.10.1 TCP [TCP Dup ACK 37#2] 8000 1057
[ACK] Seq=2855 Ack=3265 Win=13050 Len=0
4.893559 192.168.10.1 - 193.109.238.27 TCP [TCP Retransmission] 1057
8000 [PSH, ACK] Seq=3265 Ack=2855 Win=7667 Len=610
4.952832 193.109.238.27 - 192.168.10.1 TCP [TCP Dup ACK 37#3] 8000 1057
[ACK] Seq=2855 Ack=3265 Win=13050 Len=0
4.966322 193.109.238.27 - 192.168.10.1 TCP 8000 1057 [ACK] Seq=2855
Ack=3875 Win=14790 Len=0
5.773056 192.168.10.1 - 193.109.238.27 TCP [TCP Retransmission] 1057
8000 [PSH, ACK] Seq=3875 Ack=2855 Win=7667 Len=1460
7.578914 192.168.10.1 - 193.109.238.27 TCP [TCP Retransmission] 1057
8000 [PSH, ACK] Seq=3875 Ack=2855 Win=7667 Len=1460
11.190700 192.168.10.1 - 193.109.238.27 TCP [TCP Retransmission] 1057
8000 [PSH, ACK] Seq=3875 Ack=2855 Win=7667 Len=1460
18.414291 192.168.10.1 - 193.109.238.27 TCP [TCP Retransmission] 1057
8000 [PSH, ACK] Seq=3875 Ack=2855 Win=7667 Len=1460
32.861325 192.168.10.1 - 193.109.238.27 TCP [TCP Retransmission] 1057
8000 [PSH, ACK] Seq=3875 Ack=2855 Win=7667 Len=1460
Irgendeine Idee wo es hier zwickt?
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Elsterformular und Linux-Router
Am Dienstag, 12. April 2005 09:14 schrieb Werner Opriel:
Ich versuche die Elsterdatenuebertragung ebenfalls ueber Linux Router
aus einem internen Netz herzustellen. Das LAN ist dabei durch eine
DMZ vom Internet getrennt. Der DMZ-Proxy ist aus den oben
beschriebenen Gruenden hier nicht im Spiel, die Elster Server werden
also direkt angesprochen. Hinweis:
Seit kurzer Zeit gibt es einen HTTP_Tunnel (benoetigt Java Webstart)
unter: https://www.elster.de/elfo_tunnel.php?tunnelversion=1.0.0
mit dem angeblich auch Squid funktionieren soll.
Wenn HTTP(S), dann geht auch Squid. Welche Daten letztlich über das
Protokoll übertragen werden, spielt keine Rolle mehr.
Folgende Regeln sollen den direkten Kontakt eines Client aus dem
internen Netz zu einem der Elsterserver ermoeglichen:
# Router LAN -- DMZ
# ---
ELSTER_PORT=8000
ELSTER_SERV=62.157.211.58 62.157.211.59 62.157.211.60 \
193.109.238.26 193.109.238.27 213.182.157.66
# Anfragen an externe Elster Server und Elster-Port gewaehren
for EP in $ELSTER_SERV
do
$IPTABLES -A FORWARD -p TCP --sport $UNPRIVPORTS -d $EP \
--dport $ELSTER_PORT -m state --state NEW,ESTABLISHED,RELATED \
-o $DMZ_IF -i $LAN_IF -j ACCEPT
done
Mit dem Hinweis, das die Variablen $UNPRIVPORTS, $DMZ_IF und $LAN_IF bei
dir entsprechend belegt sind.
# eingehende Pakete von Elster Servern zu bestehenden Verbindungen
# zulassen (Rueckkanal)
for EP in $ELSTER_SERV
do
$IPTABLES -A FORWARD -i $DMZ_IF -o $LAN_IF -s $EP \
-m state --state ESTABLISHED,RELATED -j ACCEPT
done
Warum nicht beides in einer Schleife?
# Router DMZ -- Internet
# ---
OK, das dürfte für den OP das interessante sein:
# die Elsterformular-Upload-Server und der zugehoerige Port
ELSTER_SERVER=(62.157.211.58 \
62.157.211.59 \
62.157.211.60 \
193.109.238.26 \
193.109.238.27 \
213.182.157.66)
ELSTER_PORT=8000
# Source NAT -- (SNAT/Masquerading)
$IPTABLES -t nat -A POSTROUTING -o $EXT_IF -j MASQUERADE
Mit $EXT_IF = Internet-IF.
# Enable IP Forwarding
echo 1 /proc/sys/net/ipv4/ip_forward
# Anfragen (TCP) mit Zielport 8000
# fuer den Zugriff auf die Elsterserver zulassen
for ES in ${ELSTER_SERVER[*]}
do
$IPTABLES -A FORWARD -p TCP --sport $UNPRIVPORTS \
--dport $ELSTER_PORT -o $EXT_IF -i $DMZ_IF -d $ES \
-m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
done
# Antworten (Rueckkanal) von Elster Servern explizit zulassen
for ES in ${ELSTER_SERVER[*]}
do
$IPTABLES -A FORWARD -i $EXT_IF -o $DMZ_IF -s $ES \
-m state --state ESTABLISHED,RELATED -j ACCEPT
done
#
Anmerkungen: Siehe oben.
Die Verbindung kommt auch zustande, bricht allerdings nach kurzer
Zeit mit einem Timeout ab.. Ein tcpdump zeigt folgendes:
...
4.828341 192.168.10.1 - 193.109.238.27 TCP 1057 8000 [PSH, ACK]
Seq=8302 Ack=2855 Win=7667 Len=271
4.886292 193.109.238.27 - 192.168.10.1 TCP 8000 1057 [ACK]
Seq=2855 Ack=3265 Win=13050 Len=0
4.887251 192.168.10.1 - 193.109.238.27 TCP 1057 8000 [PSH, ACK]
Seq=8573 Ack=2855 Win=7667 Len=596
4.892174 193.109.238.27 - 192.168.10.1 TCP [TCP Dup ACK 37#1] 8000
1057 [ACK] Seq=2855 Ack=3265 Win=13050 Len=0
4.892614 193.109.238.27 - 192.168.10.1 TCP [TCP Dup ACK 37#2] 8000
1057 [ACK] Seq=2855 Ack=3265 Win=13050 Len=0
4.893559 192.168.10.1 - 193.109.238.27 TCP [TCP Retransmission]
1057 8000 [PSH, ACK] Seq=3265 Ack=2855 Win=7667 Len=610
4.952832 193.109.238.27 - 192.168.10.1 TCP [TCP Dup ACK 37#3] 8000
1057 [ACK] Seq=2855 Ack=3265 Win=13050 Len=0
4.966322 193.109.238.27 - 192.168.10.1 TCP 8000 1057 [ACK]
Seq=2855 Ack=3875 Win=14790 Len=0
5.773056 192.168.10.1 - 193.109.238.27 TCP [TCP Retransmission]
1057 8000 [PSH, ACK] Seq=3875 Ack=2855 Win=7667 Len=1460
7.578914 192.168.10.1 - 193.109.238.27 TCP [TCP Retransmission]
1057 8000 [PSH, ACK] Seq=3875 Ack=2855 Win=7667 Len=1460
11.190700 192.168.10.1 - 193.109.238.27 TCP [TCP Retransmission]
1057 8000 [PSH, ACK] Seq=3875 Ack=2855 Win=7667 Len=1460
18.414291 192.168.10.1 - 193.109.238.27 TCP [TCP Retransmission]
1057 8000 [PSH, ACK] Seq=3875 Ack=2855 Win=7667 Len=1460
32.861325 192.168.10.1 - 193.109.238.27 TCP [TCP Retransmission]
1057 8000 [PSH, ACK] Seq=3875 Ack=2855 Win=7667 Len=1460
Es kommt gar keine TCP-Verbindung erst zustande. Sniffer mal auf beiden
Gateways, wo was rein- und rausgeht.
--
Gruß
MaxX
Bitte beachten: Diese Mailadresse nimmt nur Listenmails entgegen.
Für PM bitte den Empfänger gegen den Namen in der Sig tauschen.
Elsterformular und Linux-Router
hi, ich bin fast am verzweifeln... Ich habe einen Win-ME-Client an einem Debian Server (Kernel 2.4) hängen. Netzwerk funktioniert, Ins Internet komme ich auch damit. Nun will (muß) ich von dem Win-PC meine Steuererklärung ans Finanzamt senden. Da steht denn in der Hilfe zu dem Elster-Programm ich soll ein Gateway einrichten, das den Port 4000 auf den Port 8000 bei der IP 62.157.211.58 (und noch 5 weitere) legt. Ich habe hier squid am laufen, finde aber nicht wo und wie ich das in der squid.conf einstellen muß. habe schon 1000 Sachen probiert, aber nichts klappt. Auch Google ist nicht sehr ergiebig. Hat jemand schon mal so was zum Laufen bekommen? Bin für jeden Hinweis dankbar. Gruß Kersten Tams -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Elsterformular und Linux-Router
Kersten Tams [EMAIL PROTECTED] schrieb: Ich habe hier squid am laufen, finde aber nicht wo und wie ich das in der squid.conf einstellen muß. habe schon 1000 Sachen probiert, aber nichts klappt. Auch Google ist nicht sehr ergiebig. Hat jemand schon mal so was zum Laufen bekommen? Ich, auf Arbeit. Mit Squid wird das IMHO nix, Du brauchst iptables, um IP_Masquerade zu machen. Ich hoffe, das reicht Dir. Ansonsten frag noch mal nach. Andreas -- Diese Message wurde erstellt mit freundlicher Unterstützung eines freilau- fenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert frei von Micro$oft'schen Viren. (#97922 http://counter.li.org) GPG 7F4584DA Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082°, E 13.56889° ;-) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Elsterformular und Linux-Router
On Mon, 11 Apr 2005, Kersten Tams wrote: Ich habe einen Win-ME-Client an einem Debian Server (Kernel 2.4) hängen. Netzwerk funktioniert, Ins Internet komme ich auch damit. Nun will (muß) ich von dem Win-PC meine Steuererklärung ans Finanzamt senden. Da steht denn in der Hilfe zu dem Elster-Programm ich soll ein Gateway einrichten, das den Port 4000 auf den Port 8000 bei der IP 62.157.211.58 (und noch 5 weitere) legt. Elster benötigt in der augenblicklichen Version einen direkten Connect zum Elsterserver und daher läuft SQUID als Proxy nicht mit ELSTER zusammen. Dies war vor ca. 12 Wochen die Aussage der Elster-Hotline. Gleichzeitig sagte die Helpdesk-Mitarbeiterin, daß doch recht viele Anfragen zu Proxy und Elster eingingen und daß daher die Chancen recht gut stünden, in einer der kommenden Versionen mit Proxy-Unterstützung zu funktionieren. Hat jemand schon mal so was zum Laufen bekommen? Nein. Du solltest Dich aber mit einem Anruf bei der Elster-Hotline[1] noch einmal vergewissern. 12 Wochen ist eine lange Zeit und zwischenzeitlich mag sich da durchaus etwas getan haben. t++ [1] https://www.elster.de/hotline.php
Re: Elsterformular und Linux-Router
Am Montag, 11. April 2005 17:47 schrieb Kersten Tams: hi, ich bin fast am verzweifeln... Ich habe einen Win-ME-Client an einem Debian Server (Kernel 2.4) hängen. Netzwerk funktioniert, Ins Internet komme ich auch damit. Nun will (muß) ich von dem Win-PC meine Steuererklärung ans Finanzamt senden. Da steht denn in der Hilfe zu dem Elster-Programm ich soll ein Gateway einrichten, das den Port 4000 auf den Port 8000 bei der IP 62.157.211.58 (und noch 5 weitere) legt. Ich habe hier squid am laufen, finde aber nicht wo und wie ich das in der squid.conf einstellen muß. Das wird so auch nicht funktionieren. Squid ist ein HTTP- und (eingeschränkt) FTP-Proxy (=Stellvertreter). Das bedeutet vereinfacht, dass es für den angefragten HTTP-Server den anfragenden Client vertritt und so die Seiten zugeschickt bekommt und auf der anderen Seite dem anfragenden Client den angefragten HTTP-Server vortäuscht. Das Elster-Programm läuft aber offensichtlich nicht über HTTP. Also kann Squid hier auch nichts machen. Du brauchst also entweder einen HTTP-Tunnel durch den Squid (auf deiner Seite könntest du da sicher etwas entsprechendes installieren, aber dir wird der andere Tunnelausgang im Internet fehlen) oder du musst auf dem Linux das IP-Forwarding sowie Masquerading einschalten. Dann sind natürlich entsprechende Firewall-Regeln, die nur die entsprechenden Ports für die betreffenden IP-Adressen freigeben, sinnvoll -- iptables. -- Gruß MaxX Bitte beachten: Diese Mailadresse nimmt nur Listenmails entgegen. Für PM bitte den Empfänger gegen den Namen in der Sig tauschen.
Re: Elsterformular und Linux-Router
Andreas Kretschmer wrote: [...] Hat jemand schon mal so was zum Laufen bekommen? Ich, auf Arbeit. Mit Squid wird das IMHO nix, Du brauchst iptables, um IP_Masquerade zu machen. Ich hoffe, das reicht Dir. Ansonsten frag noch mal nach. hi, mache ich hiermit ;-) ich habe gerade versucht mal mit webmin etwas einzustellen. Ehrlich gesagt habe ich das nicht ganz verstanden. Was ist prerouting und postrouting und wo muß ich nun die Ports und IPs einstellen? Ich habe da zwar eine entfernte Ahnung, aber ich will mir auch nichts total verbauen. Kannst Du mir ein paar Tips geben, was ich wo einstellen muß? Es gibt da so viele zusätzliche Parameter, daß ich überhaupt nicht mehr durchblicke. Normalerweise würde ich mir das ja in aller Ruhe reinziehen und so lange probieren, bis es läuft (habe ich bislang so gemacht), Momentan wartet das Finanzamt aber auf meine Erklärung und die sind nicht zimperlich mit Mahngeldern, so daß ich keine Zeit für diesen harten Weg habe. Ich hoffe auf ein wenig Verständnis, wenn ich um ein kleines Beispiel bitte :-) Gruß Kersten -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Elsterformular und Linux-Router
Kersten Tams [EMAIL PROTECTED] schrieb: Andreas Kretschmer wrote: [...] Hat jemand schon mal so was zum Laufen bekommen? Ich, auf Arbeit. Mit Squid wird das IMHO nix, Du brauchst iptables, um IP_Masquerade zu machen. Ich hoffe, das reicht Dir. Ansonsten frag noch mal nach. hi, mache ich hiermit ;-) ich habe gerade versucht mal mit webmin etwas einzustellen. Ehrlich gesagt habe ich das nicht ganz verstanden. http://netfilter.org Was ist prerouting und postrouting und wo muß ich nun die Ports und IPs einstellen? Ich habe da zwar eine entfernte Ahnung, aber ich will mir auch nichts total verbauen. iptables -t nat -A POSTROUTING -s client -j MASQUERADE Damit macht Dein Gateway IP-Masquerade für den Client. Dazu muß aber auch der Linux-Kernel als Router arbeiten: echo 1 /proc/sys/net/ipv4/ip_forward Wenn Du _keine_ weiteren iptables-Regeln hast, reicht das schon. Bedenke aber, daß damit der Client vollen Zugang auf das Internet hat - was man normalerweise als Admin nicht will. Das kann man einschränken: iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -p TCP -s client --dport 8000 -j ACCEPT iptables -A FORWARD -p TCP -s client -j REJECT --reject-with tcp-reset iptables -A FORWARD -p TCP -s client -j REJECT --reject-with icmp-port-unreachable Man könnte in der 2. Regel noch die erlaubten IP-Adressen der 6 Server angeben. Auf dem Client mußt Du noch eine Default-Route (oder Host-Routen zu den 6 Servern) setzen Kannst Du mir ein paar Tips geben, was ich wo einstellen muß? Es gibt da so Lies die Doku zu iptables. Falls Eigenwerbung erlaubt ist: http://www.linuxinfotag.de/7/detail/7 viele zusätzliche Parameter, daß ich überhaupt nicht mehr durchblicke. Das ist auf dem ersten Blick schlimmer als auf dem zweiten ;-) -- Diese Message wurde erstellt mit freundlicher Unterstützung eines freilau- fenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert frei von Micro$oft'schen Viren. (#97922 http://counter.li.org) GPG 7F4584DA Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082°, E 13.56889° ;-) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
