linux-l: iptables (v2.3)

Robin S. Socha robin at socha.net
Sa Apr 29 19:25:04 CEST 2000 

* Robin S Socha <robin at socha.net> writes:
> AAAAAAAAAAAAAAAAAAAAAHHHHHHHHHHHHHHHHHHHHHHHHHHH!!!!!!!!!!!!!!!!!!!!!!!

Wimmer hier nicht rum, Idiot...

$ ipnatctl -I -s $LAN -o ppp0 -b source -m masquerade

gibt es nämlich ganz einfach nicht mehr. iptables sind irgendwie
unterdokumentiert, aber http://deja.com/ ist Dein Freund.

Voilá:
,----[ root at radioactive ~> iptables -L ]
| Chain INPUT (policy ACCEPT)
| target     prot opt source               destination         
| acctboth   all  --  anywhere             anywhere           
| 
| Chain FORWARD (policy ACCEPT)
| target     prot opt source               destination         
| ACCEPT     all  --  192.168.1.0/24      !192.168.1.0/24     
| ACCEPT     all  -- !192.168.1.0/24       192.168.1.0/24     
| ACCEPT     all  -- !192.168.1.0/24       192.168.1.0/24     
| 
| Chain OUTPUT (policy ACCEPT)
| target     prot opt source               destination         
| acctboth   all  --  anywhere             anywhere           
| 
| Chain acctboth (2 references)
| target     prot opt source               destination         
|            all  --  radioactive.socha.net  anywhere           
|            all  --  anywhere             radioactive.socha.net
|            all  --  212.XXXXXXXXX        anywhere           
|            all  --  anywhere             212.XXXXXXXXX
|            all  --  anywhere             anywhere 
`----

War gar nicht so schwer...

$ insmod ip_conntrack 
$ insmod ip_tables 
$ insmod iptables_nat 
$ insmod ipt_MASQUERADE # hahaha... *argh!!*

Das übliche:

$ echo 1 > /proc/sys/net/ipv4/ip_forward 

Mein lokales Netz definieren:

$ LAN="192.168.1.0/24" 

und jetzt die rules:

1. Mein Rechner soll kein router für das Internet werden:

$ iptables -P FORWARD DENY 

2. Alles, was aus meinem Netz (-s $LAN) über die Netzwerkkarte raus 
   (-d !$LAN) geht, geht raus:

$ iptables -A FORWARD -i eth0 -s $LAN -d ! $LAN -j ACCEPT 

3. Und das Ganze noch einmal von aussen nach innen:

$ iptables -A FORWARD -i ppp0 -s ! $LAN -d $LAN -j ACCEPT

Vielleicht hilft es ja noch jemandem. Der Kernel läuft hier jedenfalls
seit 3 Tagen unter Vollast mit allem, was man so im privaten Netz
braucht - wer Spass am Spielen hat, kann sich 2.3.99-pre6 holen, würde
ich sagen ;-)

Aus der Reihe "niedliche Dinge, die Robin im Netz findet" heute:

Bandmin (c)1998-1999 J. Nick Koston (BlueDraco) - A simple Bandwidth Monitor
Beobachtet das Netz und spuckt HTML aus.
ftp://missinglink.darkorb.net/pub/bandmin/

Und aus der Reihe "Häh? Robin steht auf dem Schlauch":

,----[ nmap ]
| Port       State       Service
| 21/tcp     open        ftp                     
| 22/tcp     open        ssh                     
| 25/tcp     open        smtp                    
| 80/tcp     open        http                    
| 113/tcp    open        auth                    
| 119/tcp    open        nntp                    
| 139/tcp    open        netbios-ssn             
| 143/tcp    open        imap2                   
| 513/tcp    open        login                   
| 514/tcp    open        shell                   
| 515/tcp    open        printer                 
| 587/tcp    open        submission              
| 714/tcp    open        unknown                 
| 2049/tcp   open        nfs                     
| 3128/tcp   open        squid-http              
| 3306/tcp   open        mysql                   
| 6000/tcp   open        X11                     
`----

Was sind submission und unknown?

Oh. Und weiss jemand, wie ich das root-password für MySQL ändere, wenn
ich das root-password vergessen habe? *Don't* ask...

Mehr Informationen über die Mailingliste linux-l