Kandu.dk - Problemer med kerne 2.4.5 på maskeret netværk med iptables-1.2.2


/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg

Glemt dit kodeord?

Brugernavn*

Kodeord *

Husk mig

Brugerservice

Kom godt i gang

Bliv medlem

Seneste indlæg

Find en bruger

Stil et spørgsmål

Skriv et tip

Fortæl en ven

Pointsystemet

Kontakt Kandu.dk

Emnevisning

Kategorier

Alfabetisk

Karriere

Interesser

Teknologi

Reklame

Top 10 brugere

Linux

#	Navn	Point
1	o.v.n.	11177
2	peque	7911
3	dk	4814
4	e.c	2359
5	Uranus	1334
6	emesen	1334
7	stone47	1307
8	linuxrules	1214
9	Octon	1100
10	BjarneD	875

Problemer med kerne 2.4.5 på maskeret netv~
Fra : HENNING PETERSEN

Dato : 12-07-01 19:50

Problemer med kerne 2.4.5 på maskeret netværk med iptables-1.2.2
================================================================

Hej venner. Jeg kører en RH6.1 - 2.4.5 kerne med iptables-1.2.2 kompileret
direkte i kernen (altså ikke modulær undtaget ftp), og bruger get2net via
56K-modem.

Mit 192.168.0.- netværk kan ikke se internet ved nedenstående konfiguration
af iptables. Fjernes næstsidste linje (... DROP ...) virker det hele fint.

Symptomer:

winbox 192.168.0.2 kan pinge linux-server 192.168.0.1
linux-server kan pinge f.eks. www.politiken.dk
winbox kan pinge den tildelte 'local' ipadresse 195.47.131.195
winbox kan ikke pinge 'remote' ipadresse 195.47.131.249
winbox kan slet ikke pinge www.politiken.dk
- http - surf virker naturligvis heller ikke

#: iptables -L
- tolker jeg som om alle pakker uanset kilde droppes; jeg har ikke været i
stand til at finde ud af hvorledes ip-tables sættes rigtigt op.

- nogen eksperter?!

Hilsen Henning P.

---------- /etc/rc.d/rc.firewall ---------

/sbin/depmod -a
/sbin/insmod ip_nat_ftp
/sbin/insmod ip_conntrack_ftp

echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/ip_dynaddr

/usr/local/sbin/iptables -A FORWARD -j DROP
/usr/local/sbin/iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

Lars Kongshøj (12-07-2001)

Kommentar
Fra : Lars Kongshøj

Dato : 12-07-01 21:48

HENNING PETERSEN wrote:
> /usr/local/sbin/iptables -A FORWARD -j DROP
> /usr/local/sbin/iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

Ja, sådan bør det nok ikke se ud på en router. Lad dig i stedet
inspirere af http://www.sslug.dk/sikkerhed/netfilter.html

--
Lars Kongshøj

Jesper Dybdal (15-07-2001)

Kommentar
Fra : Jesper Dybdal

Dato : 15-07-01 23:03

"HENNING PETERSEN" <castrolmanden2@get2net.dk> wrote:

>/usr/local/sbin/iptables -A FORWARD -j DROP
>/usr/local/sbin/iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

Du mangler nogle regler i FORWARD-kæden som tillader det du vil mellem det
interne net og verden udenfor.

Prøv med nedenstående i stedet for de to linier (jeg har forkortet navnet på
iptables for ikke at få for lange linier - sæt selv det fulde navn ind):

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -j ACCEPT
iptables -A FORWARD -j DROP
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

Tænk også lidt over især INPUT-kæden - du vil sikkert gerne begrænse hvad man
udefra kan med din maskine.

Fx:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -j DROP

--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

Søg

Reklame

Statistik

Spørgsmål :	177513
Tips :	31968
Nyheder :	719565
Indlæg :	6408608
Brugere :	218887

Månedens bedste

Årets bedste

Sidste års bedste