sslug-teknik team mailing list archive
-
sslug-teknik team
-
Mailing list archive
-
Message #60150
Re: resolve internet adresser fra masquerade client
Henrik Størner wrote:
> In <3E3EE27E.3010905@xxxxxxxxxx> Jørgen Heesche <heesche@xxxxxxxxxx>
writes:
>
>
>>Jeg har sat masquerade op i et mininetværk bestående af to pc-er, men
>>fra masq-client kan jeg kun pinge IP-adresser og ikke connecte med
navn.
>>F.eks., 'ping 130.228.2.150' giver fin respons, hvorimod 'dig sslug.dk'
>>giver svaret: 'connection timed out; no servers could be reached'.
>
>
>>Redhat 7.1, kernel 2.4.2-2.
>
>
> Det var sandelig en ældre model ! Og kernen må du have lavet selv ?
> 2.4 kerner var da vist ikke default på Red Hat 7.1.
>
Jeg fik RH7.1 skiverne ved et besøg på min gamle arbejdsplads for et
godt stykke tid siden. Her bruges linux i et vist omfang, så måske er
denne version med opdateret kerne.
>
>
>>ipchain:
>>Chain input (policy ACCEPT):
>
>
> Mystisk. Default policy er "ACCEPT" ... d.v.s. du tillader al
> indgående trafik ? Ikke nogen særlig sikker opsætning, hvis
> du spørger mig ...
>
Sådan sætter redhat firewall op ved installationen, når man accepterer
RH's eget forslag om medium security.
> Det er længe siden jeg har rodet med ipchains opsætning, men
> mit første bud ville nok være at prøve at lægge noget logging
> ind af de pakker firewall'en afviser, og se om der er noget
> der bliver blokeret som skulle være sluppet igennem.
>
Jeg fandt på sslug en anvisning på at logge kernel og ip_tables messages
på /var/log/kernel; man kan formentlig også se logning for ipchains. Men
jeg kan ikke se noget bortset fra en udskrift ved masq-client boot
vedrørende Netfilter; ikke noget om afvisninger på masq-server.
> Du kan også prøve at bruge et andet firewall script, f.eks.
> http://www.sslug.dk/sikkerhed/ipchains.html
Jeg har downloadet filen ipchains.sh og vil nu studere den nærmere, der
er jo fint med kommentarer i den.
>
>>Jeg ved ikke hvordan get2net-serverne er kommet ind i firewall; måske
>>tages de 'automatisk' fra resolv.conf?
>
>
> Nej, ikke automatisk. Det må være noget der sker i et script under
> opstart af din PPP forbindelse.
>
Nu har jeg fundet det; det sker under opstart af systemet lige efter at
network parametre sættes. I /var/log/messages ses flg.:
Feb 4 10:40:41 localhost logger: punching nameserver 195.82.195.101
through the firewall
Feb 4 10:40:41 localhost logger: punching nameserver 129.142.7.101
through the firewall
>
>
>>Masq-client opsætning:
>>----------------------
>
>
>>iptables:
>
>
> Prøv at lade være med at køre en firewall på din masquerading
> klient, i al fald mens du fejlfinder opsætningen. Det gør det
> lidt nemmere, når der kun er eet firewall regelsæt, man skal
> tage sig af.
Jeg har prøvet at stoppe iptables, men jeg kan ikke rigtig se hvad det
giver. Medmindre der er andre muligheder for logning end ovennævnte
/var/log/kernel kan jeg ikke se at jeg har et firewall problem; jeg
mener stadig at det er et DNS problem.
Mvh
Jørgen Heesche
References