sslug-teknik team mailing list archive
-
sslug-teknik team
-
Mailing list archive
-
Message #32628
SV: SV: MASQ firewall...
-----Oprindelig meddelelse-----
Fra: Jesper Lund [mailto:jesper@xxxxxxxxxxxxxx]
Sendt: 25. januar 2001 08:59
Til: sslug-teknik@xxxxxxxx
Emne: Re: SV: [TEKNIK] MASQ firewall...
Thomas Kongstad wrote:
>
> Thomas Kongstad wrote:
> >
> > System :
> > RedHat 7.0
> > eth0 : 3com 905b
> > eth1 : D-Link 538TX
> > ----------------------------
> > Jeg har et kabel modem koblet til eth0 og en intern net til eth1.
> > eth0 = faar sin adr fra DHCP, lige nu er den vist 194.239.205.121
> > eth1 = 192.168.1.1
> > jeg har ogsaa installeret ndc..det virker.
> >
> > Fra serveren :
> > Kan jeg pinge alt..dvs alt paa det interne net og alt paa internettet..
> >
> > Fra intern net :
> > Kan jeg pinge baade eth1 og eth0.
> > Men naar jeg pinger en www adresse faar jeg godt nok ip nummeret og og
den
> > foerste linje er noget i stil med "192.168.1.1 adressen er uopnaaelig",
> > hvorefter der kommer 3 "forespoergelsen fik timeout".
> > (maskinen er en WindowsME ip = 192.168.1.5).
> >
> > Her er hvordan min firewall fil ser ud..
> > #!/bin/sh
> > /sbin/depmod -a
> > #
> > /sbin/modprobe ip_masq_ftp
> > #
> > echo "1" > /proc/sys/net/ipv4/ip_forward
> > echo "1" > /proc/sys/net/ipv4/ip_always_defrag
> > # Dynamic IP users:
> > #
> > # If you get your IP address dynamically from SLIP, PPP, or DHCP,
enable
> > this
> > # following option. This enables dynamic-ip address hacking in IP
MASQ,
> > # making the life with Diald and similar programs much easier.
> > #
> > echo "1" > /proc/sys/net/ipv4/ip_dynaddr
> > echo "1" > /proc/sys/net/ipv4/ip_masq_udp_dloose
> > /sbin/ipchains -M -S 7200 10 160
> > # DHCP: For people who receive their external IP address from either
DHCP
> > or
> > # BOOTP such as ADSL or Cablemodem users, it is necessary to use
> the
> > # following before the deny command. The
> "bootp_client_net_if_name"
> > # should be replaced the name of the link that the DHCP/BOOTP
> server
> > # will put an address on to? This will be something like "eth0",
> > # "eth1", etc.
> > #
> > # This example is currently commented out.
> > #
> > /sbin/ipchains -A input -j ACCEPT -i eth0 -s 0/0 67 -d 0/0 68 -p udp
> > /sbin/ipchains -P forward DENY
> > /sbin/ipchains -A forward -i eth0 -s 192.168.1.1/24 -j MASQ
> >
>
> >Her er fejlen.... Hvis ikke jeg ser forkert. Hvilket jeg nok goer. ;)
> >/sbin/ipchains -A forward -i eth0 -s 192.168.1.0/24 -j MASQ
>
> >Altsaa, du skal angive netvaerksnummeret, hvis du samtidigt vil angive
> >en netmaske. Ellers gaar det galt.
> >Du kan dog ogsaa lave en -s 195.168.1.5/32 -j MASQ, men saa er det kun
> >DEN maskine der kan komme paa nettet.
>
> >/Jesper
>
> Jeg kunne ikke fer det til at virke, hvad kan jeg have glemt. Subnet
masken
> er sat rigtig nok op. Jeg har ikke kompileret kernen fordi at jeg fandt et
> sted at bare ip_forward og nogle andre filer var til stede, saa var den
klar
> til brug.(desuden kommer den ogse med en fejl naar jeg proever at
> kompilerer.)
>
> /KonGe
>Du skal nok se paa om de rigtige moduler er loadet. Jeg ved faktisk ikke
>hvad en standart kerne kan af firewalling, da jeg ALTID selv kompilere
>kernen selv.
>Kan du sende en "lsmod" ? Og evt. en "ipchains -L -n -v" ?
>Mvh. Jesper
Her er lsmod:...........
Module Size Used by
nls_cp437 3876 2 (autoclean)
vfat 9404 1 (autoclean)
fat 30688 1 (autoclean) [vfat]
ip_masq_ftp 4216 0 (unused)
lockd 31176 1 (autoclean) sunrpc 52964
1 (autoclean) [lockd]
rtl8139 13184 1 (autoclean)
Og her er ipchains -L -n -v :......
Chain input (policy ACCEPT: 32 packets, 5488 bytes):
Chain forward (policy DENY: 0 packets, 0 bytes):
pkts bytes target prot opt tosa tosx ifname mark outsize source
destination ports
0 0 MASQ all ------ 0xFF 0x00 eth0
192.168.1.0/24 0.0.0.0/0 n/a
0 0 MASQ all ------ 0xFF 0x00 eth0
192.168.1.5 0.0.0.0/0 n/a
Chain output (policy ACCEPT: 34 packets, 5628 bytes):
haaber det hjaelper lidt mere...
