Re: router-konfiguration

To: debian-user-german@lists.debian.org
Subject: Re: router-konfiguration
From: Rainer Ellinger <rainer@ellinger.de>
Date: Wed, 5 Feb 2003 10:25:48 +0100
Message-id: <[🔎] 200302050943.19113@ellinger.de>
In-reply-to: <[🔎] 20030204201407.GB1159@r55.studdorf.wh.tu-darmstadt.de>
References: <[🔎] 20030203190757.GA4165@r55.studdorf.wh.tu-darmstadt.de> <[🔎] 200302041347.34327@ellinger.de> <[🔎] 20030204201407.GB1159@r55.studdorf.wh.tu-darmstadt.de>

Frederik schrieb:
> > Erlauben auch die Netfilter-Einstellugen ein Forward?
> sind dies reine Kernel-Einstellungen?

Ja. Der Paketfilter und die Netzwerkeinstellungen im Kernel werden 
gesteuert mit den Kommandos iptables (Paket iptables), ip und tc (beide 
im Paket iproute). Die veralteten Kommandos ifconfig, route und arp 
erlauben Teile davon.

> Ein iptables -L liefert dann:
>  pkts bytes target     prot opt in     out     source destination
>     0     0 ACCEPT     all  --  any    any     anywhere anywhere     

Das ist ein -vL und am liebsten ist mir in Listendiskussionen immer 
-vnL. An den Paketzählern kannst Du sehen, ob eine Regel überhaupt 
verwendet wird. Werden Pakete nicht weitergeleitet und bleibt der 
Zähler hier auf Null, muss es schon an elementarerer Stelle hängen.

> > iptables -t nat -I POSTROUTING 1 -o eth0 -j SNAT --to-source
> damit gehen seine Pakete doch unter meiner ip ins Netz, oder? So
> soll/muss es nämlich sein?

Ja, wobei natürlich dann Deine IP als --to-source angeben.

> auf das A hab ich gar nicht so genau geguckt, ich hab sowieso vorher
> alle chains gelöscht. Aber schonmal gut zu wissen, dass ich da dann

Ich meckere dabei indirekt darüber, dass Einsteigern immer 
iptables-Konstrukte vorgesetzt werden, die ein -A (=Append) verwenden. 
Das heisst die Regel wird hinten angehängt. Bei einem bereits 
vorhandenen, guten Regelsatz sollte die Aktion gar nichts bewirken ;-)

Bei Netfilter-Regeln ist der gesamte Aufbau und die Reihenfolge 
entscheidend. Zwei Ansätze zum Einstieg sind ein bischen Blabla zum 
Thema von meiner Seite [1] und eine ziemlich umfassende Referenz [2].

> 21:10:58.393366 130.83.17.252.1985 > 224.0.0.2.1985: HSRPv0-hello 20:
> state=standby group=17 addr=130.83.17.254 [tos 0xc0]
> --auf was soll ich da achten? Mir sagt das leider nicht so viel...!?

So etwas hier nicht so einfach zu posten. Jetzt kennen wieder ein paar 
Leute die IPs offensichtlich ungeschützer, öffentlich erreichbarer 
Rechner ;-)

Gehe die Konfiguration in folgenden Schritten durch:

1) Beim Client wird die 192.168-IP Deines Rechnes als Gateway angegeben 
und die IP eines DNS-Servers identisch, wie auf Deinem Rechner.

2) Kann der Client die 192.168-IP Deines Gateways anpingen?
Wenn ja, stimmt schon mal die Physik

3) Kann der Client die DNS-IP anpingen?
Wenn ja, klappt auch das Forward.

[1] 
http://lists.debian.org/debian-user-german/2002/debian-user-german-200210/msg01535.html

[2] http://iptables-tutorial.frozentux.net

-- 
rainer@ellinger.de

Reply to:

References:
- router-konfiguration
  - From: Frederik <eseguey@gmx.de>
- Re: router-konfiguration
  - From: Rainer Ellinger <rainer@ellinger.de>
- Re: router-konfiguration
  - From: Frederik <eseguey@gmx.de>

Prev by Date: Re: Interner Linux Umbau auf Debian
Next by Date: pppd und active-filter 'outbound'
Previous by thread: Re: router-konfiguration
Next by thread: Re: router-konfiguration
Index(es):
- Date
- Thread