Re: iptables Regel
Also sprach Saskia Whigham <debianliste@gmx.de> (Thu, 13 Oct 2005
18:22:35 +0200):
> Andreas Kretschmer schrieb:
> >am 13.10.2005, um 16:49:59 +0200 mailte Saskia Whigham folgendes:
> >>echo 1 > /proc/sys/net/ipv4/ip_forward für die Weiterleitung habe ich
> >>schon aktiviert der Rest funzt aber irgendwie nicht.
also gut. am router fuer das netzwerk ILAN hast du mal das forwarding
der packete ins ELAN organisiert. D.h packete werden hier durchgeworfen
(ohne NAT).
> >>meine Variablen sind folgende:
> >>
> >>internes Lan = ILAN
> >>externes Lan = ELAN
> >>internes Lan Interface = IINTER
> >>externe Lan Interface = EINTER
> >>
> >>ILAN="192.168.44.0/24
> >>ELAN="192.168.43.0/24
> >>IINTER="eth1"
> >>EINTER="eth0"
> >>GATEWAY="192.168.43.250"
> >>
> >>der Gateway (Router vom ISP) steht hinter der Firewall. Das heisst der
> >>letzte Punkt vorm Internet.
> >>
> >>
das sagt mir hier gar nix. fuer die loesung sind route -n und ifconfig
der rechner brauchbar.
also angenommen dein netz sieht so aus:
INTERN---ROUTER------EXTERN-----INTERNET
192.168.44.0/24 INET
192.168.44.xx } \
192.168.43.xx } |-- darueber reden wir
192.168.43.0/24 ENET
192.168.43.250 = Router ins Internet
> >Was soll dan dieser Rechner mit den 2 Netzwerk-Karten? Dein Router sieht
> >nur das Netz 192.168.43.0/24, die Clients sind in 192.168.44.0/24.
Ich geh mal davon aus, dass Klienten an .43. (und .44.) sind. Du selbst
willlst aber Klienten aus INET (.44.) ins Netz verhelfen.
Also:
a) du schreibst deine internen Netzwerkanfragen am Router in (.43.)um
(NAT).
b) du erlaubst .44. den Internetzugriff (am Router .43.250).
> also nochmal. Es gibt drei Geräte. eine Firewall, ein Router vom ISP und
> den Client Rechner. Ich will kein Masquerade. Ich möchte eigentlich das
> der Firewall Rechner als Router arbeitet also alle Pakete vom internen
> lan weiter an den ISP Router leitet und dieser sie dann ins Internet und
> wieder zurück. Quasi eigentlich nur ein Router mit iptables.
Du musst dir schon ueberlegen, wie die Firewall am (Zwischen-)
Router/Firewall aussehen soll. Am einfachsten, du NATest die
Verbindungen um als sicheren Punkt im ENET dem Router / der Firewall zu
vertrauen, so der Vorschlag von Andreas. Oder du erlaubst Klienten aus
dem INET den Zugang auf den Router (reines routing ohne NAT).
sl ritch
Reply to: