[linux-l] Nochmal iptables und DSL...
Schlomo Schapiro
belug at schapiro.org
Mi Apr 2 11:04:10 CEST 2003
Hello Carsten,
hast Du auch das dynip eingeschaltet ?
SuSE schreibt in /proc/sys/net/ipv4/ip_dynaddr eine 7 rein.
Das sollte man AFAIK für Router mit sich ändernden Addressen eingeschaltet
haben.
Auf meinem DSL Router (SuSE 8.0) setzte ich auch zuerst die iptables Sachen
und starte dann den pppd. Hab dafür natürlich ein bisschen in den SuSE
init.d Dateien rumgepatcht.
Prüf doch mal, ob das ip_forward wirklich eingeschaltet ist, wenn die
Windows-Kisten nicht rauspingen können.
Und ein abschließendes -j LOG in allen iptables Chains, die eine default
Policy von DROP oder REJECT haben, hat auch schon geholfen, sowas zu
debuggen.
Schlomo
Tuesday, April 1, 2003, 2:28:32 PM, you wrote:
CP> Hallo!
CP> Vor ner Weile hab ich diese Mail an die Liste geschickt:
CP> Carsten Posingies <neurobasher at gmx.net> schrieb:
>> meine Redhat-Kiste ist mein Internet-Gateway und baut im Bootvorgang
>> die DSL-Verbinung auf. Vorher werden die iptables-rules scharf
>> geschaltet, u.a. die NAT-Regeln fürs ppp0. Hinter der Linux-Box
>> hängen zwei Windows-PCs.
>>
>> Nun das, worum es geht. Wenn die DSL-Verbindung up ist, kann ich
>> sofort von der Linux-Kiste aus rauspingen, aber nicht von den
>> Windows-Kisten. Um die rauszulassen, muss ich mich erst auf der
>> Linux-Kiste einloggen und das iptables-Startscript erneut laufen
>> lassen, also die Tables flushen und dann die Rules neu eintragen
>> lassen. Es ist exakt das Skript, das beim Booten ausgeführt wird.
>>
>> Mir hat mal wer gesagt, dass die iptables-Regeln auch vor dem
>> Verbindungsaufbau scharf geschaltet werden können. Mir schwant aber,
>> dass das wohl doch nicht der Fall ist. Dann müsste ich wohl die Rules
>> in zwei Teile trennen, erstmal alles dichtmachen und nur das nötige
>> im internen Netz erlauben, und nach dem DSL-Aufbau die NAT-Regeln
>> dazu packen.
>>
>> Jemand nen Tipp für mich?
CP> Hab noch ne Weile rumprobiert, und was ich festgestellt habe, ist dies:
CP> Wenn ich auf der Windows-Kiste einen Ping absetze, löst der bind auf der
CP> Redhat-Box sauber auf, aber der Ping landet im Nirgendwo, wird nicht weiter
CP> geroutet, obwohl die iptables-Regeln das zulassen (also ALLOW all und
CP> MASQUERADE aktiv). Wenn ich dann auf der Konsole der Redhat-Box mit der Hand
CP> ein
echo 1 >>/proc/sys/net/ipv4/ip_forward
CP> eintaste, geht der Ping durch. Genau diese Zeile steht aber auch im Script,
CP> das beim Booten ausgeführt wird, und ich habe sonst nix gefunden, was das
CP> wieder abstellen könnte. Ich habe dieselbe Zeile dann nochmal ins rc.local
CP> eingetragen, in der Annahme, dass das Kommando vielleicht möglichst spät
CP> abgesetzt werden sollte, aber Pustekuchen, selbes Verhalten.
CP> Langsam bin ich mit meinem Latein am Ende...
CP> Carsten
CP> _______________________________________________
CP> linux-l mailing list
CP> linux-l at mlists.in-berlin.de
CP> https://mlists.in-berlin.de/mailman/listinfo/linux-l
--
Best regards,
Schlomo
Mehr Informationen über die Mailingliste linux-l