sslug-teknik team mailing list archive

Thread
Date

Re: Firewall

To: sslug-teknik@xxxxxxxx
From: Bjarke Bruun <bbj@xxxxxxxxx>
Date: Thu, 14 Sep 2000 21:39:55 +0200
Delivered-to: mailing list sslug-teknik@xxxxxxxx
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm
Sender: bogart@xxxxxxxxxxxxxxxx

Jimmy Dansbo wrote:
> 
> Hejsa, jeg ved at der har vaeret en del spoergsmaal omkring subject
> her paa listen, men jeg har stadig ikke forstaaet hvordan det virker.
> 
> Jeg har et netvaerk der ser saaledes ud:
> 
>                 Net1                   Net2
> winmaskine1 ----------- RedHat6.2 --------------- winmaskine2
> 
> winmaskine1=100.100.100.1
> winmaskine2=100.100.101.2
> linux Net1 =100.100.100.2
> linux Net2 =100.100.101.1

Linux:

$ modprobe /lib/modules/2.2.12-20/ipv4/ip_masq_autofw
$ ipchains -A forward -s 100.100.100.0/24 -d 100.100.101.0/24 -b -j MASQ
$ ipchains -A forward -s 100.100.101.0/24 -d 100.100.100.0/24 -b -j MASQ

Hvis du får meddelse om at masqurading ikke er aktiveret/er med i
kernen, skal du køre neden stående for at aktivere masqurading. (Jeg
mener det er /proc/net/ipv4/ip_forward ellers er den lige der i nærheden
- det er der sikkeret en anden der kan huske/ved)

$ echo "1" > /proc/net/ipv4/ip_forward

Windåse:
Ingen ting ud over at beholde ip nummerene.

Forklaring:
"ipchains -A forward -s xxxx -d yyyy -b -j MASQ" betyder at du indsætter
en 'rule' i firewallen der forwarder alle pakker fra sourcen xxxx til
destinationen yyyy som en masqurade. Det vil sige at det ikke er win1
der snakker direkte med win2 - det er win1 der snakker til linux og
linux der snakker videre til win2 og omvendt. (samme måde en
proxy-server fungere på...)

Der er ikke meget mere at forklare, med mindre du har lyst til at læse
ipchains-howto, net-howto og man siderne til ipchains.

Der kan også være en anden grund... route tabellen - hvis du som root
skriver route skulle du gerne få begge (xxxx og yyyy) net listet som
noget der minder om dette:

[root@linux /root]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use
Iface
100.100.100.2   100.100.100.2   255.255.255.0   UH    0      0        0
eth0
100.100.100.0   100.100.100.2	255.255.255.255 U     0      0        0
eth0
100.100.101.1   100.100.101.1   255.255.255.0   UH    0      0        0
eth1
100.100.101.0   100.100.101.1	255.255.255.255 U     0      0        0
eth1
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0
lo
[root@linux /root]#

Eller noget der minder meget om det!!! (sikkert nogen der benytter de
rigtige 192.168. 127. 10. adresse områder, som er reseveret områder i
den globale ip-stack til lokalnetværk der er koblet op mod internettet,
der kan komme med en bedere route-tabel's output :-)

-- 
Bjarke Bruun - E-mail: bbj@xxxxxxxxx http://linux.hhknet.dk
   __
  / /  (_)__  __ ____  __
 / /__/ / _ \/ // /\ \/ /  . . .  t h e   c h o i c e   o f   a
/____/_/_//_/\_,_/ /_/\_\              G N U   g e n e r a t i o n . . .

References

Firewall
From: Jimmy Dansbo, 2000-09-14