linux-l: Problem mit Firewall bei Kernel 2.2.3 (eigentlich beim Masquerading)
Soeren Sonnenburg
sonnenburg at informatik.hu-berlin.de
Mo Mär 15 20:36:46 CET 1999
> wo doch nun nicht mehr ipfwadm sondern ipchains zur Einrichtung/Verwaltung
> von Firewall und Masquerading verwendet werden.
Ein Glueck ;-) Fuer deinen Packetfilter kann ich u.U. helfen.
> ipfwadm "emulieren" soll, nun geht aber bei mir Masquerading nicht mehr !
Dann hast du was falsch gemacht. Der emuliert ziemlich perfekt und in jedem
Fall masquerading (wird der Pfad auf ipfwadm absolut angegeben ?)
> Will heißen ich bekomm mit den anderen Rechnern im Netz kein Internet mehr
> über den Server !
> Um Fehler beim Firewall selbst auszuschalten hab ich diesen
> "gestoppt" (wie
> sich das bei SuSE nennt) und jetzt dürfte quasi nur noch
> Masquerading laufen .
Naja nach deinem ipchains -L zu urteilen hast du nachtraeglich alles erlaubt
loggst.
> Jetzt hab ich mir mal die ipchains auflisten lassen und das Ergebnis hab
> ich als Datei hier herangehängt... kann daraus jemand nen Fehler
> erkennen ????
Ja. Deine Input/Output Chains sind vorerst ok.
Aber was hast du mit dem forward chain angerichtet (der ist's naemlich der
maskieren darf).
Chain forward (policy ACCEPT):
target prot opt source destination ports
ACCEPT all ---f-- anywhere anywhere n/a
fwd all ------ anywhere anywhere n/a
Du akzeptierst alles. Schoen. Also wird nichts maskiert - Glueckwunsch.
Loesche einfach die erste Regel (von diesem Zustand aus ipchains -D forward
1). Dann wird naemlich jedes Paket in den nachfolgenden chain fwd
umgeleitet.
Chain fwd (1 references):
target prot opt source destination ports
MASQ all ------ 192.168.1.0/24 anywhere n/a
MASQ all ------ 192.168.1.0/24 anywhere n/a
In diesem wird maskierst (zwar gleich zweimal, tut aber nix). Du koenntest
diese Regel natuerlich auch gleich in den forward chain packen, so gehts
aber auch. Ich empfehle bei erreichter Wunschkonfiguration ein ipchains-save
>/etc/ipchains oder so und dann nur noch ein ipchains-restore -f
</etc/ipchains.
> Das lokale Netz ist 192.168.1.x !
>
> Vielen Dank
> Thomas Seifert
Sollte es dennoch nicht gehen schau dir das IP-Chains HOWTO an, das ist echt
Klasse und zeigt dir auch die Uebersetzungen fuer die wichtigsten ipfwadm
Befehle (Masq. zb :)
Soeren.
----
Und nicht vergessen:Pupi in the lapi ist nicht gleich pupi in the schnulko!
Mehr Informationen über die Mailingliste linux-l