linux-l: schaetzungsweise forwarding, evtl. auch nicht... *g*
Andre' Draszik
ad at andred.dialup.fu-berlin.de
Fr Jan 28 00:12:37 CET 2000
According to axel hamann:
> 1. Die Antwort auf ein ICMP-Paket wie ping, kommt doch ersteinmal auf
> das Interface zurueck, welches es ausgesandt hat, richtig?
Grundsätzlich natürlich schon, in diesem Fall aber eben nicht, da alles was
den Satelliten-proxy in meine Richtung verläßt, eben über die dvb-Karte
wieder reinkommt. Das ist ja das Prinzip dabei, den schnellen Rückkanal
(Satellit) zu benutzen.
> Warum sollte
> es also, wenn von 194.177.32.36 (ippp0) gepingt wird, die Antwort
> ausgerechnet auf 62.155.168.9 (dvb0) eintreffen? Wie sieht denn Dein
> Kommando aus, welches den ping auslöst ?
Es ist umgekehrt, 194... ist der proxy, 62... war mein ippp0. Kommando?
einfach "ping 194.177.32.36"
> > Jan 27 02:59:41 andred kernel: Packet log: input DENY dvb0 PROTO=1 194.177.32.36:0 62.155.168.9:0 L=84 S=0x00 I=31069 F=0x0000 T=253 (#16)
> Dies hier heisst doch ersteinmal nur, daß ein Päckchen ping am
> Paketfilter kommentarlos zerschellt ist. Und zwar am input-chain. Die
> Konsole bleibt daher natülich leer.
Ebend, daher meine Frage, was ich machen muß, damit das Paket bis zur
Konsole kommt.
> > Versucht habe ich
> > ipchains -A forward -j ACCEPT -i dvb0 -s 194.177.32.36/32 -d 62.155.168.9/32
> Da kann in der forward-chain stehen was will, wenn ICMP-Pakete
> nichteinmal die input-chain passieren dürfen.
Ich habe inzwischen auch zusätzlich zuvor -A input -j ACCEPT probiert, also
erst input dann forward und beides gleichzeitig aktiv. Das Paket wird
akzeptiert, aber die obige forward chain greift nicht (getestet jeweils mit
-l).
> mach doch mal als su
> icke:~>: ipchains -L > ~/filename
> und schick den Inhalt von filename, wenn der nicht fünf Seiten lang ist
root at andred /usr/LEECH/DVB/apps $ipchains -L
Chain input (policy DENY):
target prot opt source destination ports
ACCEPT all ------ anywhere anywhere n/a
DENY all ----l- 127.0.0.0/8 anywhere n/a
ACCEPT all ------ dvb_net/24 anywhere n/a
ACCEPT all ------ localnet/24 anywhere n/a
ACCEPT all ------ anywhere p3E9EBF6A.dip0.t-ipconnect.de n/a
DENY all ----l- dvb_net/24 anywhere n/a
DENY all ----l- localnet/24 anywhere n/a
DENY all ----l- anywhere anywhere n/a
Chain forward (policy DENY):
target prot opt source destination ports
ACCEPT all ------ localnet/24 dvb_net/24 n/a
ACCEPT all ------ dvb_net/24 localnet/24 n/a
MASQ all ------ dvb_net/24 anywhere n/a
MASQ all ------ localnet/24 anywhere n/a
DENY all ----l- anywhere anywhere n/a
Chain output (policy DENY):
target prot opt source destination ports
ACCEPT all ------ anywhere anywhere n/a
ACCEPT all ------ anywhere dvb_net/24 n/a
ACCEPT !tcp ------ anywhere BASE-ADDRESS.MCAST.NET/4 any -> any
ACCEPT all ------ anywhere localnet/24 n/a
ACCEPT !tcp ------ anywhere BASE-ADDRESS.MCAST.NET/4 any -> any
ACCEPT all ------ p3E9EBF6A.dip0.t-ipconnect.de anywhere n/a
DENY all ----l- anywhere dvb_net/24 n/a
DENY all ----l- anywhere localnet/24 n/a
DENY all ----l- anywhere anywhere n/a
Chain ipac_in (0 references):
Chain ipac_out (0 references):
Chain ipac_bth (0 references):
nicht zu lang *g* Tja, das sind einfache Regeln wie ich sie z.Zt. habe.
dvb_net ist das 192.168.4.x Netz (in welchem die DVB-Karte ist) localnet ist
192.168.1.x. Achso, die zusätzlichen Regeln hatte ich natürlich nicht mit
-A, sondern mit -I eingefügt, nicht angehänght.
> Dann läßt sich vielleicht erkennen, welche
> regeln die ICMP-Pakete filtern und welche rules Du hinzufügen oder
> löschen musst, damit alles funzt.
Es geht ja nicht primär/einzig um ICMP, sondern generell darum, daß egal
welches Paket, kann ja auch eine Antwort auf z.B. einen http-request sein,
nicht von dvb0 nach ippp0 kommt.
> http://www.linuxdoc.org/HOWTO/IPCHAINS-HOWTO.html
Naja, die ipchains parameter sind mir insoweit klar, es geht ja jetzt um
diese spezielle Anwendung, die halt auch nirgends beschrieben ist...
Andre'
Mehr Informationen über die Mailingliste linux-l