sslug-teknik team mailing list archive

Thread
Date

Re: resolve internet adresser fra masquerade client

To: sslug-teknik@xxxxxxxx
From: Jørgen Heesche <heesche@xxxxxxxxxx>
Date: Tue, 04 Feb 2003 21:22:57 +0000
Delivered-to: mailing list sslug-teknik@xxxxxxxx
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm
Newsgroups: sslug.teknik
Organization: SSLUG
User-agent: Mozilla/5.0 (X11; U; Linux i586; en-US; rv:1.0.1) Gecko/20020826

Henrik Størner wrote:
  > In <3E3EE27E.3010905@xxxxxxxxxx> Jørgen Heesche <heesche@xxxxxxxxxx>
writes:
  >
  >
  >>Jeg har sat masquerade op i et mininetværk bestående af to pc-er, men

>>fra masq-client kan jeg kun pinge IP-adresser og ikke connecte mednavn.

  >>F.eks., 'ping 130.228.2.150' giver fin respons, hvorimod 'dig sslug.dk'
  >>giver svaret: 'connection timed out; no servers could be reached'.
  >
  >
  >>Redhat 7.1, kernel 2.4.2-2.
  >
  >
  > Det var sandelig en ældre model ! Og kernen må du have lavet selv ?
  > 2.4 kerner var da vist ikke default på Red Hat 7.1.
  >
Jeg fik RH7.1 skiverne ved et besøg på min gamle arbejdsplads for et
godt stykke tid siden. Her bruges linux i et vist omfang, så måske er
denne version med opdateret kerne.


  >
  >
  >>ipchain:
  >>Chain input (policy ACCEPT):
 >
  >
  > Mystisk. Default policy er "ACCEPT" ... d.v.s. du tillader al
  > indgående trafik ? Ikke nogen særlig sikker opsætning, hvis
  > du spørger mig ...
  >

Sådan sætter redhat firewall op ved installationen, når man accepterer
RH's eget forslag om medium security.

  > Det er længe siden jeg har rodet med ipchains opsætning, men
  > mit første bud ville nok være at prøve at lægge noget logging
  > ind af de pakker firewall'en afviser, og se om der er noget
  > der bliver blokeret som skulle være sluppet igennem.
  >

Jeg fandt på sslug en anvisning på at logge kernel og ip_tables messages

på /var/log/kernel; man kan formentlig også se logning for ipchains. Menjeg kan ikke se noget bortset fra en udskrift ved masq-client bootvedrørende Netfilter; ikke noget om afvisninger på masq-server.


  > Du kan også prøve at bruge et andet firewall script, f.eks.
  > http://www.sslug.dk/sikkerhed/ipchains.html

Jeg har downloadet filen ipchains.sh og vil nu studere den nærmere, der
er jo fint med kommentarer i den.

  >
  >>Jeg ved ikke hvordan get2net-serverne er kommet ind i firewall; måske
  >>tages de 'automatisk' fra resolv.conf?
  >
  >
  > Nej, ikke automatisk. Det må være noget der sker i et script under
  > opstart af din PPP forbindelse.
  >
Nu har jeg fundet det; det sker under opstart af systemet lige efter at
network parametre sættes. I /var/log/messages ses flg.:

Feb  4 10:40:41 localhost logger: punching nameserver 195.82.195.101
through the firewall
Feb  4 10:40:41 localhost logger: punching nameserver 129.142.7.101
through the firewall



  >
  >
  >>Masq-client opsætning:
  >>----------------------
  >
  >
  >>iptables:
  >
  >
  > Prøv at lade være med at køre en firewall på din masquerading
  > klient, i al fald mens du fejlfinder opsætningen. Det gør det
  > lidt nemmere, når der kun er eet firewall regelsæt, man skal
  > tage sig af.

Jeg har prøvet at stoppe iptables, men jeg kan ikke rigtig se hvad det
giver. Medmindre der er andre muligheder for logning end ovennævnte
/var/log/kernel kan jeg ikke se at jeg har et firewall problem; jeg
mener stadig at det er et DNS problem.

Mvh
Jørgen Heesche

References

resolve internet adresser fra masquerade client
From: Jørgen Heesche, 2003-02-03
Re: resolve internet adresser fra masquerade client
From: St�, 2003-02-03