sslug-teknik team mailing list archive

Thread
Date

Re: SV: MASQ firewall...

To: sslug-teknik@xxxxxxxx
From: Jesper Lund <jesper@xxxxxxxxxxxxxx>
Date: Thu, 25 Jan 2001 08:58:36 +0100
Delivered-to: mailing list sslug-teknik@xxxxxxxx
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm
Sender: root@xxxxxxxxxxxxxxxxxx

Thomas Kongstad wrote:
> 
> Thomas Kongstad wrote:
> >
> > System :
> > RedHat 7.0
> > eth0 : 3com 905b
> > eth1 : D-Link 538TX
> > ----------------------------
> > Jeg har et kabel modem koblet til eth0 og en intern net til eth1.
> > eth0 = faar sin adr fra DHCP, lige nu er den vist 194.239.205.121
> > eth1 = 192.168.1.1
> > jeg har ogsaa installeret ndc..det virker.
> >
> > Fra serveren :
> > Kan jeg pinge alt..dvs alt paa det interne net og alt paa internettet..
> >
> > Fra intern net :
> > Kan jeg pinge baade eth1 og eth0.
> > Men naar jeg pinger en www adresse faar jeg godt nok ip nummeret og og den
> > foerste linje er noget i stil med "192.168.1.1 adressen er uopnaaelig",
> > hvorefter der kommer 3 "forespoergelsen fik timeout".
> > (maskinen er en WindowsME ip = 192.168.1.5).
> >
> > Her er hvordan min firewall fil ser ud..
> > #!/bin/sh
> > /sbin/depmod -a
> > #
> > /sbin/modprobe ip_masq_ftp
> > #
> > echo "1" > /proc/sys/net/ipv4/ip_forward
> > echo "1" > /proc/sys/net/ipv4/ip_always_defrag
> > #  Dynamic IP users:
> > #
> > #   If you get your IP address dynamically from SLIP, PPP, or DHCP, enable
> > this
> > #   following option.  This enables dynamic-ip address hacking in IP MASQ,
> > #   making the life with Diald and similar programs much easier.
> > #
> > echo "1" > /proc/sys/net/ipv4/ip_dynaddr
> > echo "1" > /proc/sys/net/ipv4/ip_masq_udp_dloose
> > /sbin/ipchains -M -S 7200 10 160
> > # DHCP:  For people who receive their external IP address from either DHCP
> > or
> > #        BOOTP such as ADSL or Cablemodem users, it is necessary to use
> the
> > #        following before the deny command.  The
> "bootp_client_net_if_name"
> > #        should be replaced the name of the link that the DHCP/BOOTP
> server
> > #        will put an address on to?  This will be something like "eth0",
> > #        "eth1", etc.
> > #
> > #        This example is currently commented out.
> > #
> > /sbin/ipchains -A input -j ACCEPT -i eth0 -s 0/0 67 -d 0/0 68 -p udp
> > /sbin/ipchains -P forward DENY
> > /sbin/ipchains -A forward -i eth0 -s 192.168.1.1/24 -j MASQ
> >
> 
> >Her er fejlen.... Hvis ikke jeg ser forkert. Hvilket jeg nok goer. ;)
> >/sbin/ipchains -A forward -i eth0 -s 192.168.1.0/24 -j MASQ
> 
> >Altsaa, du skal angive netvaerksnummeret, hvis du samtidigt vil angive
> >en netmaske. Ellers gaar det galt.
> >Du kan dog ogsaa lave en -s 195.168.1.5/32 -j MASQ, men saa er det kun
> >DEN maskine der kan komme paa nettet.
> 
> >/Jesper
> 
> Jeg kunne ikke fer det til at virke, hvad kan jeg have glemt. Subnet masken
> er sat rigtig nok op. Jeg har ikke kompileret kernen fordi at jeg fandt et
> sted at bare ip_forward og nogle andre filer var til stede, saa var den klar
> til brug.(desuden kommer den ogse med en fejl naar jeg proever at
> kompilerer.)
> 
> /KonGe


Du skal nok se paa om de rigtige moduler er loadet. Jeg ved faktisk ikke
hvad en standart kerne kan af firewalling, da jeg ALTID selv kompilere
kernen selv.

Kan du sende en "lsmod" ? Og evt. en "ipchains -L -n -v" ?

Mvh. Jesper

References

SV: MASQ firewall...
From: Thomas Kongstad, 2001-01-25