Toon posts:

Iptables probleem met twee netwerken aan server

Pagina: 1
Acties:

zondag 2 februari 2003 14:00

Acties:

Verwijderd

Topicstarter
Ik heb een probleem met IPTABLES.

Eerst kort hoe mijn netwerk eruit ziet, mijn server hangt aan een netwerk via eth1; dat is een 172.20.*.*/255.255.252.0 netwerk. Aan de server hangt een pc via een 192.168.0.* IP adres; op eth0. Tenslotte maakt de server een internetverbinding een pppoe verbinding via eth1.

Nu heb ik maquerading voor de 192.168.0.* verbinding werkend naar de pppoe verbinding. Wat ik nu ook wil is naar pc's verbinden in de 172.20 range. Daarvoor moet ik dus in Iptables iets toevoegen.

Wat ik heb proberen toe te voegen is
$IPTABLES -A FORWARD -d 172.20.24.0/255.255.252.0 -j MASQUERADE
maar dat werkte dus niet. Dit was mijn beste gok; ik heb ook nog een heel aantal andere dingen geprobeerd; maar dat werd al helemaal niets. Kan iemand mij hier uit de brand helpen?


Mijn script ziet er nu als volgt uit:

FWVER=0.71
echo -e "\n\nLoading simple firewall version $FWVER..\n"
IPTABLES=/sbin/iptables
DEPMOD=/sbin/depmod
INSMOD=/sbin/insmod
EXTIFINTERNET="ppp0"
EXTIF="eth1"
INTIF="eth0"

echo -en " loading modules: "

echo " -Verifying that all kernel modules are ok"
$DEPMOD -a

echo "-------------------------------------------"

echo -en "ip_tables, "
$INSMOD ip_tables

echo -en "ip_conntrack, "
$INSMOD ip_conntrack

echo -en "ip_conntrack_ftp, "
$INSMOD ip_conntrack_ftp

echo -en " iptable_nat, "
$INSMOD iptable_nat

echo -en "ip_nat_ftp, "
$INSMOD ip_nat_ftp

echo "------------------------------------------"

echo ". Done loading modules."

echo " enabling forwarding.."
echo "1" > /proc/sys/net/ipv4/ip_forward

echo " enabling DynamicAddr.."
echo "1" > /proc/sys/ipv4/ip_dynaddr

echo " clearing any existing rules and setting default policy.."
$IPTABLES -P INPUT ACCEPT
$IPTABLES -F INPUT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -F OUTPUT
$IPTABLES -P FORWARD DROP
$IPTABLES -F FORWARD
$IPTABLES -t nat -F

echo " FWD: Allow all connections OUT and only existing and related ones IN"
$IPTABLES -A FORWARD -i $EXTIFINTERNET -o $INTIF -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -i $INTIF -o $EXTIFINTERNET -j ACCEPT
$IPTABLES -A FORWARD -j LOG

echo " Enabling SNAT (MASQUERADE) functionality on $EXTIFINTERNET en $EXTIF"
$IPTABLES -t nat -A POSTROUTING -o $EXTIFINTERNET -j MASQUERADE
echo -e "\nfirewall-2.4 v$FWVER done.\n"

zondag 2 februari 2003 14:55

Acties:
  • wzzrd
  • Registratie: Februari 2000
  • Laatst online: 10-05 12:50

wzzrd

The guy with the Red Hat

Zie ook mijn probleem (ik denk min of meer hetzelfde) op [rml][ iptables] MASQUERADE is geen geldige optie?[/rml]

P.S. Proteus-Eretes |:( ;)

zondag 2 februari 2003 15:01

Acties:

Verwijderd

Topicstarter
Ik denk niet dat het hetzelfde probleem is; in de op een na laatste regel staat namelijk ook een target MASQUERADE en die doet het wel.

p.s. dat klopt :)

zondag 2 februari 2003 15:26

Acties:
  • Buffy
  • Registratie: April 2002
  • Laatst online: 26-12-2024

Buffy

Fire bad, Tree pretty

Verwijderd schreef op 02 February 2003 @ 14:00:

Wat ik heb proberen toe te voegen is
$IPTABLES -A FORWARD -d 172.20.24.0/255.255.252.0 -j MASQUERADE
maar dat werkte dus niet. Dit was mijn beste gok; ik heb ook nog een heel aantal andere dingen geprobeerd; maar dat werd al helemaal niets. Kan iemand mij hier uit de brand helpen?
MASQUERADE in de FORWARD chain is ipchains en niet iptables. In iptables wordt masquerading in de POSTROUTING chain gedaan (nat table) zoals je kan zien aan het einde van je script.
Als je het tweede netwerk ook wilt masqueraden dan moet je die regel dupliceren (inclusief de FORWARD regels) en tevens nog een aantal FORWARD regels om communicatie tussen de twee interne networken mogelijk te maken.

Zie ook:
Linux 2.4 Packet Filtering HOWTO
Linux 2.4 NAT HOWTO
Connection tracking
Iptables Tutorial 1.1.11

That which doesn't kill us, makes us stranger - Trevor (AEon FLux)
When a finger points at the moon, the imbecile looks at the finger (Chinese Proverb)

maandag 3 februari 2003 11:00

Acties:

Verwijderd

Topicstarter
Ik heb nu het volgende gemaakt van het script; maar het werkt nog steeds niet...

fWVER=0.71
echo -e "\n\nLoading simple firewall version $FWVER..\n"
IPTABLES=/sbin/iptables
DEPMOD=/sbin/depmod
INSMOD=/sbin/insmod
EXTIFINTERNET="ppp0"
EXTIF="eth1"
INTIF="eth0"

echo -en " loading modules: "

echo " -Verifying that all kernel modules are ok"
$DEPMOD -a

echo "-------------------------------------------"

echo -en "ip_tables, "
$INSMOD ip_tables

echo -en "ip_conntrack, "
$INSMOD ip_conntrack

echo -en "ip_conntrack_ftp, "
$INSMOD ip_conntrack_ftp

echo -en " iptable_nat, "
$INSMOD iptable_nat

echo -en "ip_nat_ftp, "
$INSMOD ip_nat_ftp

echo "------------------------------------------"

echo ". Done loading modules."

echo " enabling forwarding.."
echo "1" > /proc/sys/net/ipv4/ip_forward

echo " enabling DynamicAddr.."
echo "1" > /proc/sys/ipv4/ip_dynaddr

echo " clearing any existing rules and setting default policy.."
$IPTABLES -P INPUT ACCEPT
$IPTABLES -F INPUT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -F OUTPUT
$IPTABLES -P FORWARD DROP
$IPTABLES -F FORWARD
$IPTABLES -t nat -F

echo " FWD: Allow all connections OUT and only existing and related ones IN"
$IPTABLES -A FORWARD -i $EXTIFINTERNET -o $INTIF -m state --state ESTABLISHED,RE
LATED -j ACCEPT
$IPTABLES -A FORWARD -i $EXTIF -o $INTIF -m state --state ESTABLISHED,RELATED -j
ACCEPT
$IPTABLES -A FORWARD -i $INTIF -o $EXTIFINTERNET -j ACCEPT
$IPTABLES -A FORWARD -i $INTIF -o $EXTIF -j ACCEPT
$IPTABLES -A FORWARD -j LOG

echo " Enabling SNAT (MASQUERADE) functionality on $EXTIFINTERNET en $EXTIF"
$IPTABLES -t nat -A POSTROUTING -o $EXTIF -d 172.20.24.0/255.255.252.0 -j MASQUE
RADE
$IPTABLES -t nat -A POSTROUTING -o $EXTIFINTERNET -j MASQUERADE
echo -e "\nfirewall-2.4 v$FWVER done.\n"

maandag 3 februari 2003 11:55

Acties:

Verwijderd

Topicstarter
Hmm, verrassend; het werkt toch met dit script; bedankt voor die tip over die forward iig
Pagina: 1
Reageer