[linux-l] ping funktioniert nicht

Ihno Krumreich ihno at lst.de
So Dez 7 21:58:15 CET 2003 

On Sat, Dec 06, 2003 at 11:01:38PM +0100, Peter Koppatz wrote:
> Hallo Ihno,
> 
> sehr sch?n die Zusammenfassung aller How-to's und Anleitungen die ich bis 
> jetzt durchgeackert habe.
> 
> Am Samstag, 6. Dezember 2003 12:36 schrieb Ihno Krumreich:
> > Hi,
> >
> > On Fri, Dec 05, 2003 at 10:50:56PM +0100, Peter Koppatz wrote:
> > > Hallo!
> > >
> >
> > - damit du nun mit dem laptop ins in Internet kommst muss also die
> >   Adresse deines Laptops verschwinden (aus der Sicht des Internets).
> >   Dazu gibt es zwei Moeglichkeiten:
> >
> >   - NAT oder Masquerading
> >     Bei Nat wird bei jedem Paket des Laptops die Absendeadresse des
> >     Laptops durch die Absendeadresse des ppp-Interfaces ersetzt
> >     (Also 192.168.1.22 durch 217.5.117.165). Die Adresse
> >     217.5.117.165 ist im Internet bekannt und erreichbar. Fuer
> >     jedes Paket das zurueckkommt wird der Adresse wieder
> >     zurueckgetauscht.
> >
> >   - proxy
> >     Auf deinem Gateway-Rechner (der mit dem ppp-Interface) wird
> >     beispielsweise squid installiert (ein http/ftp-proxy) und
> >     dein Laptop nimmt Verbindung mit dem Proxy auf und der
> >     Proxy mit dem Internet.
> 
> Ah jetzt d?mmerts: Werden die Pakete durchgereicht ohne sie zu manipulieren, 
> dann tr?gt der Rechner den Titel: Router

Das ist richtig.

> Wenn aber mit den Paketen ein wenig voodoo gemacht wird, ist es ein Gateway.
> Hab ich das jetzt ein f?r allemal kapiert?

Nein. Ein Router ist auch ein Gateway. Beispielsweise ist es fuer den
Laptop nicht unterscheidbar, ob das Paket durch einen Router oder NAT
weitergeleitet wird. Der Begriff Gateway bezeichnet einen Rechner,
durch den man durch muss, um zu einem bestimmten Bereich zu gelangen.
Es ist dabei egal, ob die Technologie Router, NAT oder Proxy ist.


> 
> >   Was du also wahrscheinlich willst ist NAT.
> >   Also Masquerading aktivieren und dein Laptop wird gluecklich sein.
> 
> Diesbez?glich hab ich schon einige Experimente gestartet, mit wenig Erfolg, es 
> werden also noch Fragen kommen.
> 
> >
> >   Wie macht man das nun? Da leider die verschiedenen Linux-derivate
> >   es etwas anders machen....
> >   Ich habe ein SuSE linux 8.1 laufen, da geht es so:
> >
> >   ========================================================================
> >   # If you just want to do masquerading without filtering, ignore this
> >   # script
> >   # and run this line (exchange "ippp0" "ppp0" if you use a modem, not
> >   # isdn):
> >   iptables -A POSTROUTING -t nat -j MASQUERADE -o ippp0
> >   echo 1 > /proc/sys/net/ipv4/ip_forward
> >   # and additionally the following lines to get at least a minimum of
> >   # security:
> >   iptables -A INPUT -j DROP -m state --state NEW,INVALID -i ippp0
> >   iptables -A FORWARD -j DROP -m state --state NEW,INVALID -i ippp0
> >   #
> >   ========================================================================
> >   Dies ist ein Ausschnitt aus der Datei /etc/sysconfig/SuSEfirewall2
> Ich habe jetzt mal die 4 Zeilen ausprobiert und bei den letzten beiden 
> sch?ttelt sich die gentoo-Kiste.
> #!/bin/sh
> /sbin/iptables -t nat -A POSTROUTING -j MASQUERADE -o ippp0
> echo 1 > /proc/sys/net/ipv4/ip_forward
> /sbin/iptables -A INPUT -j DROP -m state --state NEW,INVALID -i ppp0
> /sbin/iptables -A FORWARD -j DROP -m state --state NEW,INVALID -i ppp0
> 
Das Interface bei den letzten beiden Kommandos lautet ppp0 und nicht
ippp0 wie beim ersten Kommando. 

Gib nochmal folgende Befehle ein:

/sbin/iptables -A INPUT -j DROP -m state --state NEW,INVALID -i ippp0
/sbin/iptables -A FORWARD -j DROP -m state --state NEW,INVALID -i ippp0

> Fehlermeldung:
> iptables: No chain/target/match by that name
> hab noch den schalter -v entdeckt und dann kommt folgende Ausgabe:
> MASQUERADE  all opt -- in * out ppp0  0.0.0.0/0  -> 0.0.0.0/0  
> DROP  all opt -- in ppp0 out *  0.0.0.0/0  -> 0.0.0.0/0  state INVALID,NEW 
> DROP  all opt -- in ppp0 out *  0.0.0.0/0  -> 0.0.0.0/0  state INVALID,NEW 
> 
> dazwischen dann die Fehlermeldungen
> 
Das erste Kommando war fuer das Interface ippp0. Die beiden letzten
Befehle fuer das Interface ppp0, das nicht gefunden wurde.

Gruss

Ihno

P.S. Ich habe es gerade im eigenen Netz ausprobiert und es funzt.

Mehr Informationen über die Mailingliste linux-l