Also sprach Saskia Whigham <debianliste@gmx.de> (Thu, 13 Oct 2005
18:22:35 +0200):
Andreas Kretschmer schrieb:
am 13.10.2005, um 16:49:59 +0200 mailte Saskia Whigham folgendes:
echo 1 > /proc/sys/net/ipv4/ip_forward für die Weiterleitung habe ich
schon aktiviert der Rest funzt aber irgendwie nicht.
also gut. am router fuer das netzwerk ILAN hast du mal das forwarding
der packete ins ELAN organisiert. D.h packete werden hier durchgeworfen
(ohne NAT).
meine Variablen sind folgende:
internes Lan = ILAN
externes Lan = ELAN
internes Lan Interface = IINTER
externe Lan Interface = EINTER
ILAN="192.168.44.0/24
ELAN="192.168.43.0/24
IINTER="eth1"
EINTER="eth0"
GATEWAY="192.168.43.250"
der Gateway (Router vom ISP) steht hinter der Firewall. Das heisst der
letzte Punkt vorm Internet.
das sagt mir hier gar nix. fuer die loesung sind route -n und ifconfig
der rechner brauchbar.
also angenommen dein netz sieht so aus:
INTERN---ROUTER------EXTERN-----INTERNET
192.168.44.0/24 INET
192.168.44.xx } \
192.168.43.xx } |-- darueber reden wir
192.168.43.0/24 ENET
192.168.43.250 = Router ins Internet
Was soll dan dieser Rechner mit den 2 Netzwerk-Karten? Dein Router sieht
nur das Netz 192.168.43.0/24, die Clients sind in 192.168.44.0/24.
Ich geh mal davon aus, dass Klienten an .43. (und .44.) sind. Du selbst
willlst aber Klienten aus INET (.44.) ins Netz verhelfen.
Also:
a) du schreibst deine internen Netzwerkanfragen am Router in (.43.)um
(NAT).
b) du erlaubst .44. den Internetzugriff (am Router .43.250).
also nochmal. Es gibt drei Geräte. eine Firewall, ein Router vom ISP und
den Client Rechner. Ich will kein Masquerade. Ich möchte eigentlich das
der Firewall Rechner als Router arbeitet also alle Pakete vom internen
lan weiter an den ISP Router leitet und dieser sie dann ins Internet und
wieder zurück. Quasi eigentlich nur ein Router mit iptables.
Du musst dir schon ueberlegen, wie die Firewall am (Zwischen-)
Router/Firewall aussehen soll. Am einfachsten, du NATest die
Verbindungen um als sicheren Punkt im ENET dem Router / der Firewall zu
vertrauen, so der Vorschlag von Andreas. Oder du erlaubst Klienten aus
dem INET den Zugang auf den Router (reines routing ohne NAT).
sl ritch