Re: Routing/NAT
am Wed, dem 15.12.2004, um 17:03:26 +0100 mailte Peter Baumgartner folgendes: iptables -A sperre -p tcp --dport 4100:4115 -j ACCEPT # icq portrange # sperre aktivieren # # iptables -A INPUT -j sperre iptables -A FORWARD -j sperre Wo soll icq laufen? Falls auf einem Client, dann brauchst Du es _NUR_ in FORWARD, und _NICHT_ in INPUT. Andreas -- Diese Message wurde erstellt mit freundlicher Unterstützung eines freilau- fenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert frei von Micro$oft'schen Viren. (#97922 http://counter.li.org) GPG 7F4584DA Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082°, E 13.56889° ;-) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Routing/NAT
Am Mittwoch, 15. Dezember 2004 17:38 schrieb Andreas Kretschmer: am Wed, dem 15.12.2004, um 17:03:26 +0100 mailte Peter Baumgartner folgendes: [...] iptables -F iptables -F -t nat iptables -F sperre iptables -X sperre iptables -N sperre iptables -F sperre Eine neu angelegte Kette ist leer. Ab jetzt saugt Dein Umbruch... sorry, hatte es gecopypasted # first contact # # iptables -A sperre -i eth1 -s ! 192.168.56.0/255.255.255.0 -j DROP # Alles aus dem lan ohne passende IP wegwerfen iptables -A sperre -i eth1 -j ACCEPT # Sonst alles von eth0 erlauben (Hier eth1 ist lan, eth0 inet? genau, bzw. DMZ, es zielt auf eine Fritzbox fon sollte man aufpassen, was man den Usern gewähren will und sich vor Trojanern schützen.) [...] # sperre aktivieren # # iptables -A INPUT -j sperre iptables -A FORWARD -j sperre iptables -P INPUT DROP iptables -P FORWARD DROP Es ist IMHO sinnvoller, die Policy am Anfang zu setzen. Ich dachte, man muß erst die erlaubte, dann die verbotenen setzen? iptables -P OUTPUT ACCEPT # output immer annehmen (nochmal ein Trojanerhinweis...) # ? was muß da hin?? Welche Dienste _außen_ sollen erlaubt sein? Du könntest z.B. in FORWARD für Deine Clients expliziet nur DNS erlauben und z.B. für Webzugriffe einen Proxy erzwingen. Machbar ist vieles, auch was Tunnel anbelangt. Gut iptables -P OUTPUT ACCEPT -t nat # NAT # ### iptables -A POSTROUTING -t nat -o eth0 -j MASQUERADE # was rausgeht wird maskiert # iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 4100:4115 -j DNAT --to 192.168.56.2 # icq soll an einen anderen Rechner geleitet werden # Hm, wieso an einen? # iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 21 -j DNAT --to 192.168.0.2 # ftp genauso # Hm, an meinen noch nicht aufgesetzten ftp-Server? Wenn FTP gehen soll, lade evtl. noch die dazu nötigen conntrack-Module. Stimmt, hatte ich vergessen, squid kann ja kein ftp Ob ICQ sowas braucht, weiß ich grad nicht. echo Firewall started snap-- Das scheint, in einer shell gestartet, soweit zu funktionieren, wie iptables -L ausgibt. Die Frage ist, ob das schon reicht, so ganz kapiert habe ich das Auf den ersten Blick und unter Beachtung der Tatsache, daß ich Deine Wünsche nicht kenne, mag das okay sein. noch nicht. Bei Suse würde das dann von Yast nach rc.init.d kopiert, ausführbar gesetzt und in die Runlevel verlinkt. Wohin genau und an welche Position (etc/rc3.d ca 20, kurz vor exim?) das bei Debian muß, weiß ich auch nicht, aber das wird schon noch. Du kannst es _VOR_ dem Netzwerk starten. OK, Danke Peter
Re: Routing/NAT
am Wed, dem 15.12.2004, um 17:03:26 +0100 mailte Peter Baumgartner folgendes: echo Firewall started snap-- Das scheint, in einer shell gestartet, soweit zu funktionieren, wie iptables Frage: ICMP. Was ist damit? Du wirst früher oder später Probleme haben, da so ICMP wohl komplett nicht geht. (eingehend). Oder ich habs übersehen... Andreas -- Diese Message wurde erstellt mit freundlicher Unterstützung eines freilau- fenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert frei von Micro$oft'schen Viren. (#97922 http://counter.li.org) GPG 7F4584DA Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082°, E 13.56889° ;-) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Routing/NAT
Am Mittwoch, 15. Dezember 2004 17:16 schrieb Christian Schmidt: Hallo Peter, [...] Ich habe es hier so aufgesetzt: LAN eth0 (192.168.2.1) Server eth1 (192.168.1.2) Router (192.168.1.1) Internet Dazu waren im wesentlichen die folgenden Schritte noetig: - Aktivierung des IP-Forwarding auf dem Server - Eintragen von 192.168.1.1 (Router) als Default Gateway auf dem Server - Eintragen von 192.168.2.1 (eth0 des Servers) als Default Gateway auf den Clients Das ist soweit klar Da ich das NATten dem Router ueberlasse, musste ich diesem mittels einer zusaetzlichen Route verraten, dass er mein internes Netz 192.168.2.0/24 ueber eth1 des Servers (192.168.1.2) erreicht. und das geht eben bei einer Fritzbox nicht, deshalb mu ich ja das NAT auf der Firewall des Servers machen. Eine rudimentre Firewall ist ja auf der box drauf. Das klingt jetzt alles schlimmer als es eigentlich ist. ;-) eigentlich nicht, das Problem ist nur, da man als Susianer immer wieder aufluft, weil alle mglichen Dinge ein wenig anders gelst sind oder auch nur anders heien: rcsmbd start vs. samba start, fr dhcpd3 habe ich noch keinen Aufruf gefunden ( rcdhcpd start), squid lt sich einmal starten, aber nicht mehr stoppen, und hnliches. Ich habe mir mal vor lngerer Zeit das Debian Handbuch ausgedruckt, weil ich am Bildschirm nicht so viel lesen mag, aber das war fr Potato/Woody und ist nicht mehr ganz taufrisch ;-) Gru Peter
Re: Routing/NAT
Am Dienstag, 14. Dezember 2004 13:15 schrieb Andreas Kretschmer: am 14.12.2004, um 13:03:14 +0100 mailte Peter Baumgartner folgendes: Hä? Wo tut der Squid? Der soll die Anfragen aus dem LAN transparent mit Beschleunigung auf den Router weiterleiten. Also: 192.168.0.254:8080 - 192.168.178.1 - Internet, so besser ausgedrückt? Jo, schon klar. Man kann einen Proxy sowohl auf dem Router als auch im genatteten Netz betreiben. Ersteres hat den Nachteil, daß man bei der Konfig halt aufpassen muß, daß man ihn nicht im Internet prostituiert. Sauberer ist auf alle Fälle, das Teil ins LAN oder DMZ zu stellen. In dem Fall ja DMZ, weil noch der Router dazwischensitzt. Zieh Dir mal in Ruhe http://netfilter rein, unable to determine IP-Address? [EMAIL PROTECTED]:~$ dig www.netfilter.org | grep -i answer section -A 1 ;; ANSWER SECTION: www.netfilter.org. 43141 IN A 213.95.27.115 PS.: sorry, hatte org vergessen. Macht ja nix, ich habe es auch so gefunden - Tante Gugel weiß da so einiges. Ich habe folgendes Script gefunden und ausprobiert: --snip- #! /bin/sh echo 1 /proc/sys/net/ipv4/ip_forward # Initialisierung des Forwardings # Flushen, Löschen, Neuerstellung - nicht vergessen im Script! # iptables -F iptables -F -t nat iptables -F sperre iptables -X sperre iptables -N sperre iptables -F sperre # first contact # # iptables -A sperre -i eth1 -s ! 192.168.56.0/255.255.255.0 -j DROP # Alles aus dem lan ohne passende IP wegwerfen iptables -A sperre -i eth1 -j ACCEPT # Sonst alles von eth0 erlauben (Hier sollte man aufpassen, was man den Usern gewähren will und sich vor Trojanern schützen.) iptables -A sperre -i lo -s 127.0.0.1/255.0.0.0 -j ACCEPT # Für Loopback wir immer alles erlaubt ausser von nicht 127.0.0.1 iptables -A sperre -i eth0 -s 192.168.56.0/255.255.255.0 -j DROP # Alles aus dem Inet mit meinen IPs werwerfen # acceptstuff # ### iptables -A sperre -p tcp --dport 21 -j ACCEPT # ftp erlauben iptables -A sperre -p tcp --dport 4100:4115 -j ACCEPT # icq portrange erlauben # Antworten zulassen # ## iptables -A sperre -m state --state ESTABLISHED,RELATED -j ACCEPT # Alles andere abweisen (RFC-konform) # # folgende Zeilen garantieren RFC-konforme Antworten. (Port geschlossen), aber Antworten sind Antworten. Jedes Paket kann Informationen beinhalten, also ist ein DROP an dieser Stelle sicherer, allerdings wird ein DROP von Portscannern als gefiltert erkannt und macht den rechner interessanter, REJECT, wie es unten angeführt ist, als geschlossen. Jeder möge selbst entscheiden.. ### iptables -A sperre -p tcp -j REJECT --reject-with tcp-reset iptables -A sperre -p udp -j REJECT --reject-with icmp-port-unreachable # sperre aktivieren # # iptables -A INPUT -j sperre iptables -A FORWARD -j sperre iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT # output immer annehmen (nochmal ein Trojanerhinweis...) # ? was muß da hin?? iptables -P OUTPUT ACCEPT -t nat # NAT # ### iptables -A POSTROUTING -t nat -o eth0 -j MASQUERADE # was rausgeht wird maskiert # iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 4100:4115 -j DNAT --to 192.168.56.2 # icq soll an einen anderen Rechner geleitet werden # Hm, wieso an einen? # iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 21 -j DNAT --to 192.168.0.2 # ftp genauso # Hm, an meinen noch nicht aufgesetzten ftp-Server? echo Firewall started snap-- Das scheint, in einer shell gestartet, soweit zu funktionieren, wie iptables -L ausgibt. Die Frage ist, ob das schon reicht, so ganz kapiert habe ich das noch nicht. Bei Suse würde das dann von Yast nach rc.init.d kopiert, ausführbar gesetzt und in die Runlevel verlinkt. Wohin genau und an welche Position (etc/rc3.d ca 20, kurz vor exim?) das bei Debian muß, weiß ich auch nicht, aber das wird schon noch. Gruß und danke soweit Peter
Re: Routing/NAT
Hallo Peter, Peter Baumgartner, 14.12.2004 (d.m.y): ich habe da ein paar Verständnisfragen zum Anschlußüber einen Fritz-Box Router. Bisher lief das nach dem Muster DSL-Modem - eth1 (z.B. 192.168.20.1) auf Eierlegendewollmilchsau-Server- eth0 (z.B. 192.168.120.254) - internes Netz. Jetzt habe ich eine Fritzbox, diese arbeitet ja bekanntlich mit einer festen Adresse (192.168.178.1 bzw. auf USB 192.168.179.1). Da Sarge nur auf eth0 ins Internet will, ist es mir mit einigem Basteln gelungen, die Onboard-EEPro100+ als eth1, und die Realtek als eth0 zu deklarieren. Ich habe es hier so aufgesetzt: LAN eth0 (192.168.2.1) Server eth1 (192.168.1.2) Router (192.168.1.1) Internet Dazu waren im wesentlichen die folgenden Schritte noetig: - Aktivierung des IP-Forwarding auf dem Server - Eintragen von 192.168.1.1 (Router) als Default Gateway auf dem Server - Eintragen von 192.168.2.1 (eth0 des Servers) als Default Gateway auf den Clients Da ich das NATten dem Router ueberlasse, musste ich diesem mittels einer zusaetzlichen Route verraten, dass er mein internes Netz 192.168.2.0/24 ueber eth1 des Servers (192.168.1.2) erreicht. Das klingt jetzt alles schlimmer als es eigentlich ist. ;-) Gruss, Christian Schmidt -- In der Liebe ist es wie beim Verbrechen - ohne den richtigen Komplizen wird es nichts. -- Christian Reuter signature.asc Description: Digital signature
Re: Routing/NAT
am Wed, dem 15.12.2004, um 17:03:26 +0100 mailte Peter Baumgartner folgendes: Ich habe folgendes Script gefunden und ausprobiert: --snip- #! /bin/sh echo 1 /proc/sys/net/ipv4/ip_forward # Initialisierung des Forwardings # Flushen, Löschen, Neuerstellung - nicht vergessen im Script! # iptables -F iptables -F -t nat iptables -F sperre iptables -X sperre iptables -N sperre iptables -F sperre Eine neu angelegte Kette ist leer. Ab jetzt saugt Dein Umbruch... # first contact # # iptables -A sperre -i eth1 -s ! 192.168.56.0/255.255.255.0 -j DROP # Alles aus dem lan ohne passende IP wegwerfen iptables -A sperre -i eth1 -j ACCEPT # Sonst alles von eth0 erlauben (Hier eth1 ist lan, eth0 inet? sollte man aufpassen, was man den Usern gewähren will und sich vor Trojanern schützen.) iptables -A sperre -i lo -s 127.0.0.1/255.0.0.0 -j ACCEPT # Für Loopback wir immer alles erlaubt ausser von nicht 127.0.0.1 iptables -A sperre -i eth0 -s 192.168.56.0/255.255.255.0 -j DROP # Alles aus dem Inet mit meinen IPs werwerfen # acceptstuff # ### iptables -A sperre -p tcp --dport 21 -j ACCEPT # ftp erlauben iptables -A sperre -p tcp --dport 4100:4115 -j ACCEPT # icq portrange erlauben # Antworten zulassen # ## iptables -A sperre -m state --state ESTABLISHED,RELATED -j ACCEPT # Alles andere abweisen (RFC-konform) # # folgende Zeilen garantieren RFC-konforme Antworten. (Port geschlossen), aber Antworten sind Antworten. Jedes Paket kann Informationen beinhalten, also ist ein DROP an dieser Stelle sicherer, allerdings wird ein DROP von Portscannern als gefiltert erkannt und macht den rechner interessanter, REJECT, wie es unten angeführt ist, als geschlossen. Jeder möge selbst entscheiden.. ### iptables -A sperre -p tcp -j REJECT --reject-with tcp-reset iptables -A sperre -p udp -j REJECT --reject-with icmp-port-unreachable # sperre aktivieren # # iptables -A INPUT -j sperre iptables -A FORWARD -j sperre iptables -P INPUT DROP iptables -P FORWARD DROP Es ist IMHO sinnvoller, die Policy am Anfang zu setzen. iptables -P OUTPUT ACCEPT # output immer annehmen (nochmal ein Trojanerhinweis...) # ? was muß da hin?? Welche Dienste _außen_ sollen erlaubt sein? Du könntest z.B. in FORWARD für Deine Clients expliziet nur DNS erlauben und z.B. für Webzugriffe einen Proxy erzwingen. Machbar ist vieles, auch was Tunnel anbelangt. iptables -P OUTPUT ACCEPT -t nat # NAT # ### iptables -A POSTROUTING -t nat -o eth0 -j MASQUERADE # was rausgeht wird maskiert # iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 4100:4115 -j DNAT --to 192.168.56.2 # icq soll an einen anderen Rechner geleitet werden # Hm, wieso an einen? # iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 21 -j DNAT --to 192.168.0.2 # ftp genauso # Hm, an meinen noch nicht aufgesetzten ftp-Server? Wenn FTP gehen soll, lade evtl. noch die dazu nötigen conntrack-Module. Ob ICQ sowas braucht, weiß ich grad nicht. echo Firewall started snap-- Das scheint, in einer shell gestartet, soweit zu funktionieren, wie iptables -L ausgibt. Die Frage ist, ob das schon reicht, so ganz kapiert habe ich das Auf den ersten Blick und unter Beachtung der Tatsache, daß ich Deine Wünsche nicht kenne, mag das okay sein. noch nicht. Bei Suse würde das dann von Yast nach rc.init.d kopiert, ausführbar gesetzt und in die Runlevel verlinkt. Wohin genau und an welche Position (etc/rc3.d ca 20, kurz vor exim?) das bei Debian muß, weiß ich auch nicht, aber das wird schon noch. Du kannst es _VOR_ dem Netzwerk starten. Andreas -- Diese Message wurde erstellt mit freundlicher Unterstützung eines freilau- fenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert frei von Micro$oft'schen Viren. (#97922 http://counter.li.org) GPG 7F4584DA Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082°, E 13.56889° ;-) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Routing/NAT
Hallo Peter, Peter Baumgartner, 15.12.2004 (d.m.y): Am Mittwoch, 15. Dezember 2004 17:16 schrieb Christian Schmidt: Da ich das NATten dem Router ueberlasse, musste ich diesem mittels einer zusaetzlichen Route verraten, dass er mein internes Netz 192.168.2.0/24 ueber eth1 des Servers (192.168.1.2) erreicht. und das geht eben bei einer Fritzbox nicht, deshalb muß ich ja das NAT auf der Firewall des Servers machen. Alternativ legst Du alle Beteiligten ins gleiche Subnetz - das waere die einfachste Loesung... Dabei faellt aber dann die Moeglichkeit weg, saemtlichen Traffic zu Filter- o.a. Zwecken durch den Server zu leiten... Eine rudimentäre Firewall ist ja auf der box drauf. Und deren geNATte stellt auch einen sehr effektiven Schutz vor Angriffen von aussen dar. Das klingt jetzt alles schlimmer als es eigentlich ist. ;-) eigentlich nicht, das Problem ist nur, daß man als Susianer immer wieder aufläuft, weil alle möglichen Dinge ein wenig anders gelöst sind oder auch nur anders heißen: rcsmbd start vs. samba start, Du hast /etc/init.d davor vergessen. ;-) Ich habe vor einer RedHat-Installation neulich das gleich andersherum erlebt. ;-) Gruss, Christian Schmidt -- Keine Kunst ist's, alt zu werden, es ist Kunst, es zu ertragen. -- Johann Wolfgang von Goethe (Zahme Xenien) signature.asc Description: Digital signature
Re: Routing/NAT
am 14.12.2004, um 10:58:51 +0100 mailte Peter Baumgartner folgendes: deaktiviert und die Adresse fest zugeordnet habe. Allerdings kriege ich von den Clients aus keine Verbindung. Ich nehme mal an, daß sich das über ein Regelwerk in IPTables lösen läßt, allerdings habe ich davon praktisch keine Sicherlich. Ahnung, da mir bisher immer Yast diese Arbeit abgenommen hat ;-) Wie kriege ich z.B. Squid dazu, intern auf, sagen wir, .254:8080 zu lauschen, und die Anfragen auf .20.1 bzw die dynamische Adresse vom Provider weiterzuleiten? Hä? Wo tut der Squid? Was im IPTables/NAT-Howto steht, finde ich nicht ganz erhellend, insbesondere mit Bezug auf 2.0 und 2.2 Kernels auch nicht ganz aktuell? 2.0/2.2 ist ipchains, ab 2.4 iptables. Man iptables kann man wahrscheinlich nur verstehen, wenn man schon 3 Jahre Firewallregeln erstellt hat. Also doch Webmin? Nein, sooo schwer ist das nicht. Zieh Dir mal in Ruhe http://netfilter rein, und vielleicht noch Eigenwerbung http://www.linuxinfotag.de/7/detail/7 /Eigenwerbung Andreas -- Andreas Kretschmer(Kontakt: siehe Header) Tel. NL Heynitz: 035242/47212 GnuPG-ID 0x3FFF606C http://wwwkeys.de.pgp.net ===Schollglas Unternehmensgruppe=== -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Routing/NAT
Hi Peter, Jetzt habe ich eine Fritzbox, diese arbeitet ja bekanntlich mit einer festen Adresse (192.168.178.1 bzw. auf USB 192.168.179.1). Da Sarge nur auf eth0 ins Internet will, ist es mir mit einigem Basteln gelungen, die Onboard-EEPro100+ als eth1, und die Realtek als eth0 zu deklarieren. Vom Server aus habe ich jetzt also Internetverbindung, nachdem ich den DHCP-Server der Box deaktiviert und die Adresse fest zugeordnet habe. Allerdings kriege ich von den Clients aus keine Verbindung. Ich löse es auf folgende Art und Weise. Ich habe mir das Endoshield Script gezogen (http://endoshiled.sourceforge.net) und dann editiert und dann aufgerufen. Von da an kommen alle in meinem Netzwerk ins Netz. Dann solltest du noch einen Kernel 2.4.x oder höher haben und das Paket iptables installieren. Dann habe ich das Script in die /etc/init.d/ kopiert und einen link von /etc/rc0.d/S38endoshield auf /etc/init.d/endoshield gemacht, damit beim nächsten boot die Firewall automatisch startet. Mir geht es nämlich so, dass ich keine Ahnung von iptables habe. Da ist so ein Script echt toll. Wie kriege ich z.B. Squid dazu, intern auf, sagen wir, .254:8080 zu lauschen, und die Anfragen auf .20.1 bzw die dynamische Adresse vom Provider weiterzuleiten? Nu, dazu musst du mal schauen, auf welchen Port der Squid momentan lauscht. Das steht in der /etc/squid.conf (? bin mir grad nicht ganz sicher ob die da liegt). Kannste ja editieren und Squid restarten. Grüssle, Tobias -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Routing/NAT
On 14.Dec 2004 - 10:58:51, Peter Baumgartner wrote: Hi @all, ich habe da ein paar Verständnisfragen zum Anschlußüber einen Fritz-Box Router. Bisher lief das nach dem Muster DSL-Modem - eth1 (z.B. 192.168.20.1) auf Eierlegendewollmilchsau-Server- eth0 (z.B. 192.168.120.254) - internes Netz. Jetzt habe ich eine Fritzbox, diese arbeitet ja bekanntlich mit einer festen Adresse (192.168.178.1 bzw. auf USB 192.168.179.1). Da Sarge nur auf eth0 ins Internet will, ist es mir mit einigem Basteln gelungen, die Onboard-EEPro100+ Das halte ich für ein Gerücht. Hast du denn deine Routen angepasst? Andreas -- Today is the last day of your life so far. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Routing/NAT
Am Dienstag 14 Dezember 2004 10:58 schrieb Peter Baumgartner: Hallo Peter, ich habe da ein paar Verständnisfragen zum Anschlußüber einen Fritz-Box Router. Bisher lief das nach dem Muster DSL-Modem - eth1 (z.B. 192.168.20.1) auf Eierlegendewollmilchsau-Server- eth0 (z.B. 192.168.120.254) - internes Netz. Jetzt habe ich eine Fritzbox, diese arbeitet ja bekanntlich mit einer festen Adresse (192.168.178.1 bzw. auf USB 192.168.179.1). Da Sarge nur auf eth0 ins Internet will, ist es mir mit einigem Basteln gelungen, die Onboard-EEPro100+ als eth1, und die Realtek als eth0 zu deklarieren. dazu kann ich wenig sagen, aber der Server hier geht über eth1 ins internet Vom Server aus habe ich jetzt also Internetverbindung, nachdem ich den DHCP-Server der Box deaktiviert und die Adresse fest zugeordnet habe. Allerdings kriege ich von den Clients aus keine Verbindung. Ich nehme mal an, daß sich das über ein Regelwerk in IPTables lösen läßt, allerdings habe ich davon praktisch keine Ahnung, da mir bisher immer Yast diese Arbeit abgenommen hat ;-) Wie kriege ich z.B. Squid dazu, intern auf, sagen wir, .254:8080 zu lauschen, und die Anfragen auf .20.1 bzw die dynamische Adresse vom Provider weiterzuleiten? Ich habe es bei mir so gelöst: -- #!/bin/bash # # # IF_INTERNET ist die Schnittstelle ins Internet # IF_INTERNET=eth1 LAN_1=eth0 LAN_2=eth2 modprobe ip_tables modprobe ip_conntrack modprobe ip_conntrack_ftp modprobe ipt_state modprobe iptable_nat modprobe ipt_MASQUERADE iptables -F iptables -N block iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A block -m state --state NEW -i ! $IF_INTERNET -j ACCEPT iptables -A block -j DROP iptables -A INPUT -j block iptables -A FORWARD -j block # Masquerading aktivieren iptables -A POSTROUTING -t nat -o $IF_INTERNET -j MASQUERADE # Transparent Proxy aktivieren iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to 192.168.1.1:3128 # ip_forwarding fuer ipv4 aktivieren echo 1 /proc/sys/net/ipv4/ip_forward --- Ich hoffe es hilft weiter Schöne Grüße Luigi
Routing/NAT
Hi @all, ich habe da ein paar Verständnisfragen zum Anschlußüber einen Fritz-Box Router. Bisher lief das nach dem Muster DSL-Modem - eth1 (z.B. 192.168.20.1) auf Eierlegendewollmilchsau-Server- eth0 (z.B. 192.168.120.254) - internes Netz. Jetzt habe ich eine Fritzbox, diese arbeitet ja bekanntlich mit einer festen Adresse (192.168.178.1 bzw. auf USB 192.168.179.1). Da Sarge nur auf eth0 ins Internet will, ist es mir mit einigem Basteln gelungen, die Onboard-EEPro100+ als eth1, und die Realtek als eth0 zu deklarieren. Vom Server aus habe ich jetzt also Internetverbindung, nachdem ich den DHCP-Server der Box deaktiviert und die Adresse fest zugeordnet habe. Allerdings kriege ich von den Clients aus keine Verbindung. Ich nehme mal an, daß sich das über ein Regelwerk in IPTables lösen läßt, allerdings habe ich davon praktisch keine Ahnung, da mir bisher immer Yast diese Arbeit abgenommen hat ;-) Wie kriege ich z.B. Squid dazu, intern auf, sagen wir, .254:8080 zu lauschen, und die Anfragen auf .20.1 bzw die dynamische Adresse vom Provider weiterzuleiten? Was im IPTables/NAT-Howto steht, finde ich nicht ganz erhellend, insbesondere mit Bezug auf 2.0 und 2.2 Kernels auch nicht ganz aktuell? Man iptables kann man wahrscheinlich nur verstehen, wenn man schon 3 Jahre Firewallregeln erstellt hat. Also doch Webmin? Hoffnungsvoll Peter
Re: Routing/NAT
Am Dienstag, 14. Dezember 2004 11:25 schrieb Andreas Kretschmer: am 14.12.2004, um 10:58:51 +0100 mailte Peter Baumgartner folgendes: deaktiviert und die Adresse fest zugeordnet habe. Allerdings kriege ich von den Clients aus keine Verbindung. Ich nehme mal an, daß sich das über ein Regelwerk in IPTables lösen läßt, allerdings habe ich davon praktisch keine Sicherlich. Ahnung, da mir bisher immer Yast diese Arbeit abgenommen hat ;-) Wie kriege ich z.B. Squid dazu, intern auf, sagen wir, .254:8080 zu lauschen, und die Anfragen auf .20.1 bzw die dynamische Adresse vom Provider weiterzuleiten? Hä? Wo tut der Squid? Der soll die Anfragen aus dem LAN transparent mit Beschleunigung auf den Router weiterleiten. Also: 192.168.0.254:8080 - 192.168.178.1 - Internet, so besser ausgedrückt? Was im IPTables/NAT-Howto steht, finde ich nicht ganz erhellend, insbesondere mit Bezug auf 2.0 und 2.2 Kernels auch nicht ganz aktuell? 2.0/2.2 ist ipchains, ab 2.4 iptables. Man iptables kann man wahrscheinlich nur verstehen, wenn man schon 3 Jahre Firewallregeln erstellt hat. Also doch Webmin? Nein, sooo schwer ist das nicht. Zieh Dir mal in Ruhe http://netfilter rein, unable to determine IP-Address? und vielleicht noch Eigenwerbung http://www.linuxinfotag.de/7/detail/7 Das les ich mir aber durch ;-) /Eigenwerbung Gruß und danke erstmal Peter
Re: Routing/NAT
Am Dienstag, 14. Dezember 2004 11:40 schrieb luigi: Am Dienstag 14 Dezember 2004 10:58 schrieb Peter Baumgartner: Hallo Peter, ich habe da ein paar Verständnisfragen zum Anschlußüber einen Fritz-Box Router. Bisher lief das nach dem Muster DSL-Modem - eth1 (z.B. 192.168.20.1) auf Eierlegendewollmilchsau-Server- eth0 (z.B. 192.168.120.254) - internes Netz. Jetzt habe ich eine Fritzbox, diese arbeitet ja bekanntlich mit einer festen Adresse (192.168.178.1 bzw. auf USB 192.168.179.1). Da Sarge nur auf eth0 ins Internet will, ist es mir mit einigem Basteln gelungen, die Onboard-EEPro100+ als eth1, und die Realtek als eth0 zu deklarieren. dazu kann ich wenig sagen, aber der Server hier geht über eth1 ins internet Vom Server aus habe ich jetzt also Internetverbindung, nachdem ich den DHCP-Server der Box deaktiviert und die Adresse fest zugeordnet habe. Allerdings kriege ich von den Clients aus keine Verbindung. Ich nehme mal an, daß sich das über ein Regelwerk in IPTables lösen läßt, allerdings habe ich davon praktisch keine Ahnung, da mir bisher immer Yast diese Arbeit abgenommen hat ;-) Wie kriege ich z.B. Squid dazu, intern auf, sagen wir, .254:8080 zu lauschen, und die Anfragen auf .20.1 bzw die dynamische Adresse vom Provider weiterzuleiten? Ich habe es bei mir so gelöst: -- #!/bin/bash # # # IF_INTERNET ist die Schnittstelle ins Internet # IF_INTERNET=eth1 LAN_1=eth0 LAN_2=eth2 modprobe ip_tables modprobe ip_conntrack modprobe ip_conntrack_ftp modprobe ipt_state modprobe iptable_nat modprobe ipt_MASQUERADE iptables -F iptables -N block iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A block -m state --state NEW -i ! $IF_INTERNET -j ACCEPT iptables -A block -j DROP iptables -A INPUT -j block iptables -A FORWARD -j block # Masquerading aktivieren iptables -A POSTROUTING -t nat -o $IF_INTERNET -j MASQUERADE # Transparent Proxy aktivieren iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to 192.168.1.1:3128 # ip_forwarding fuer ipv4 aktivieren echo 1 /proc/sys/net/ipv4/ip_forward --- Ich hoffe es hilft weiter Schöne Grüße Luigi Ich glaube schon, allerdings werde ich nicht drumherumkommen, einiges zu lesen. Aber wenn der transparente Proxy erstmal läuft, ist ja Zeit dafür, vor allem komme ich dann wieder ins Netz und kann Listen lesen. gruß Peter
Re: Routing/NAT
am 14.12.2004, um 13:03:14 +0100 mailte Peter Baumgartner folgendes: Hä? Wo tut der Squid? Der soll die Anfragen aus dem LAN transparent mit Beschleunigung auf den Router weiterleiten. Also: 192.168.0.254:8080 - 192.168.178.1 - Internet, so besser ausgedrückt? Jo, schon klar. Man kann einen Proxy sowohl auf dem Router als auch im genatteten Netz betreiben. Ersteres hat den Nachteil, daß man bei der Konfig halt aufpassen muß, daß man ihn nicht im Internet prostituiert. Sauberer ist auf alle Fälle, das Teil ins LAN oder DMZ zu stellen. Zieh Dir mal in Ruhe http://netfilter rein, unable to determine IP-Address? [EMAIL PROTECTED]:~$ dig www.netfilter.org | grep -i answer section -A 1 ;; ANSWER SECTION: www.netfilter.org. 43141 IN A 213.95.27.115 PS.: sorry, hatte org vergessen. Andreas -- Andreas Kretschmer(Kontakt: siehe Header) Tel. NL Heynitz: 035242/47212 GnuPG-ID 0x3FFF606C http://wwwkeys.de.pgp.net ===Schollglas Unternehmensgruppe=== -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
