[linux-l] iptables und DSL

Carsten Posingies neurobasher at gmx.net
Mo Mär 24 22:20:16 CET 2003 

Andreas Burkhardt <andreaz at belug.de> schrieb:

> Hallole,
>
>> Nun das, worum es geht. Wenn die DSL-Verbindung up ist, kann ich
>> sofort von der Linux-Kiste aus rauspingen, aber nicht von den
>> Windows-Kisten. Um die rauszulassen, muss ich mich erst auf der
>> Linux-Kiste einloggen und das iptables-Startscript erneut laufen
>> lassen, also die Tables flushen und dann die Rules neu eintragen
>> lassen. Es ist exakt das Skript, das beim Booten ausgeführt wird.
>>
>> Mir hat mal wer gesagt, dass die iptables-Regeln auch vor dem
>> Verbindungsaufbau scharf geschaltet werden können. Mir schwant aber,
>> dass das wohl doch nicht der Fall ist. Dann müsste ich wohl die
>> Rules in zwei Teile trennen, erstmal alles dichtmachen und nur das
>> nötige im internen Netz erlauben, und nach dem DSL-Aufbau die
>> NAT-Regeln dazu packen.
>
> Well, vermutlich liegt die Wahrheit in der Mitte. Das Beste wäre es
> wohl, wenn Du uns das Script mal zur Verfügung stellen würdest.
>
> Was funktioniert ist die Angabe des Interfaces. Das ändert sich ja
> auch zwischen verschiedenen Anrufen auch nicht.
> 'iptables -A FORWARD -o ppp0 ...'

Ich habs nur so im Skript stehen. Feste IPs stehen nur dann in Rules, wenn
es Remote-Maschinen sind, die feste IPs haben (für ICQ, WinMX und Co.). Und
natürlich meine lokalen IPs hier, alles 192.168.x.x. Sonst geb ich nur das
ppp0 an.

> Was sich aber ändert ist die extern Adresse und die wird von Deinem
> Script vielleicht mit verwendet. Das folgende dürfte wohl Probleme
> machen. 'iptables -A FORWARD -s 212.10.20.30 ....'

Logo.

Hier mal n Snipp aus ner vereinfachten Version, die "all-allow" ist, hab ich
grad mal zum Testen gehackt (ist der iptables-save-output).

:PREROUTING ACCEPT [2158:118366]
:POSTROUTING ACCEPT [49:7377]
:OUTPUT ACCEPT [168:16292]
[0:0] -A PREROUTING -p udp -m udp --dport 61257 -j DNAT --to-destination
192.168.12.1:61257
[0:0] -A PREROUTING -p tcp -m tcp --dport 61699 -j DNAT --to-destination
192.168.12.1:61699
[0:0] -A PREROUTING -p tcp -m tcp --dport 65432 -j DNAT --to-destination
192.168.12.1:65432
[414:24413] -A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT

(Die DNAT-Einträge sind für WinMX.)

Ist's wichtig, wo das

echo 1 >/proc/sys/net/ipv4/ip_forward

steht? Kann's daran liegen?

Carsten

Mehr Informationen über die Mailingliste linux-l