Re: iptables

[Joakim Seeberg <debian@seebergit.dk>]

On 23-11-2010 02:54, Jonas Smedegaard wrote:
> Hej Joakim,
>
> On Tue, Nov 23, 2010 at 12:09:41AM +0100, Joakim Seeberg wrote:
> > Hej, er der nogen der kan hjælpe mig med nedenstående iptables 
> > script. Mit problem er at jeg ikke kan printe til printer på LAN, men 
> > jeg kan godt pinge den.
>
> Jeg kan ikke hjælpe med rå iptables.  Hvis du lissom mig generelt har 
> svært ved at holde rede på de mange detaljer i rå iptables, kan jeg 
> varmt anbefale at bruge shorewall som abstraktionslag.
>
> Hvorfor lige Shorewall?  Det er ret fleksibelt, populært (så der er 
> god chance for at finde hjælp på nettet), har god dokumentation inkl. 
> eksempler, og opdateres aktivt.  Der er mange andre firewall tools - 
> men jeg kan personligt ikke hjælpe dig med andre.
>
> Check dmesg for noter om afvist trafik (men måske den slags noter er 
> en shorewall feature som dit script ikke har). Prøv evt. også at bruge 
> wireshark (eller tshark) til at sniffe nettet for at finde ud af 
> hvilke pakker der kommer igennem og hvad der bliver droppet/afvist.
>
>
> > Printern har ip 192.168.2.1
> > eth1 har ip 192.168.1.1/ 255.255.252.0
dhcp range er: 192.168.1.20 - 254/ med netmaske 255.255.255.0
dhcp clienter må ikke udskrive direkte til printer, som derfor er 
flyttet til 192.168.2.1. Clienterne må gerne udskrive til cups på server 
192.168.1.1/255.255.252.0, der så kan udskrive til printer.
> Det ser underligt ud - det er ikke 192.168.1.0/255.255.255.0 (altså et 
> klassisk klasse-C net)?
Ja jeg har også en ide om at problemet ligger i netværk setup og ikke i 
selve scriptet. alternativt kunne jeg også have printeren på samme 
subnet med /24 netmaske og begrænse adgangen til printeren med 
iptables/shorewall.
>  - Jonas