Toon posts:

[iptables] probleem met sharen

Pagina: 1
Acties:

donderdag 2 oktober 2003 09:36

Acties:

Verwijderd

Topicstarter
Beste Tweakers,

Gisteren vol goede moed mijn win2k server geformarteerd en mandrake 9 op gezet. Ik had verschillende howto's gelezen en een aantal scriptjes verzameld.

Na de installatie zat ik met mijn ethernetkaarten te klooien, maar via netconfig kon ik het een en ander wijzigen, eth1 moest extern zijn en eth0 intern maar dit stond contra.

Zoals ik het nu heb ingesteld is het zo :

eth0 IP : 192.168.0.1 / 255.255.255.0 kernelmodule 8139too
eth1 DHCP

eth1 wordt dus voor internet gebruikt (via multikabel) maar voor ik deze wijziging deed, zag ik dat er niets bij DNS stond, na de wijziging pakte ie automatisch de DNS van multikabel (213.73.255.52)
Ook heb ik DNS is required for normal operation aangezet.

Goh dat ik, het loopt allemaal voorspoedig maar met een omweg, moet kunnen dacht ik ;)

Bringing up eth0 [ok]
Bringing up eth1 [ok]

:9 kijk dat zijn berichten :)

ik ging mijn interne linuxbak en windowsbak pingen en daar kreeg ik netjes antwoord van :)

Extern de nameserver pingen deed het niet !!! :(

code:
1
2
3
4
5

[rick@widexs] ping 213.73.255.52 
from 192.168.0.1  1cpm_seg=1 Destenationhost unrachable
from 192.168.0.1  1cpm_seg=2 Destenationhost unrachable
from 192.168.0.1  1cpm_seg=3 Destenationhost unrachable
[rick@widexs]


Dit is heel jammer, maar waarom zegt ie van from 192.168.0.1 ?!

Maargoed ik heb nog wel me internetsharescriptje gedraaid die het er als volgt uitziet :

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49

#!/bin/sh

# Set some vars
EXTIP=`ifconfig eth1 | grep inet | tr -s " " | cut -d " " -f 3 | cut -d ":" -f 2`

# Load the NAT module (this pulls in all the others).
modprobe iptable_nat

# Turn on IP forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

#Flush rules
iptables -t nat -F PREROUTING

# In the NAT table (-t nat), Append a rule (-A) after routing (POSTROUTING)
# which says to MASQUERADE the connection (-j MASQUERADE).
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE

# Allows forwarding specifically to our LAN
iptables -A FORWARD -s 193.168.0.0/24 -j ACCEPT

# Allow dhcp requests
iptables -A INPUT -i eth1 -p udp --sport bootpc --dport bootps -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --sport bootpc --dport bootps -j ACCEPT
iptables -A INPUT -i eth1 -p udp --sport bootps --dport bootpc -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --sport bootps --dport bootpc -j ACCEPT

# Allow dns requests
iptables -A INPUT -i eth1 -p udp --dport domain -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport domain -j ACCEPT

# Forward some ports
iptables -t nat -A PREROUTING -p tcp --dport 7000 -i eth0 -j DNAT --to 192.168.0.18:7000
iptables -t nat -A PREROUTING -p tcp --dport 5000 -i eth0 -j DNAT --to 192.168.0.18:5000
iptables -t nat -A PREROUTING -p tcp --dport 3389 -i eth0 -j DNAT --to 192.168.0.18:3389
iptables -t nat -A PREROUTING -p tcp --dport 443 -i eth0 -j DNAT --to 192.168.0.18:443
#msn porten
iptables -t nat -A PREROUTING -p tcp --dport 6891 -i eth0 -j DNAT --to 192.168.0.18:6891
iptables -t nat -A PREROUTING -p tcp --dport 6892 -i eth0 -j DNAT --to 192.168.0.18:6892
iptables -t nat -A PREROUTING -p tcp --dport 6893 -i eth0 -j DNAT --to 192.168.0.18:6893
iptables -t nat -A PREROUTING -p tcp --dport 6894 -i eth0 -j DNAT --to 192.168.0.18:6894
iptables -t nat -A PREROUTING -p tcp --dport 6895 -i eth0 -j DNAT --to 192.168.0.18:6895
iptables -t nat -A PREROUTING -p tcp --dport 6896 -i eth0 -j DNAT --to 192.168.0.18:6896
iptables -t nat -A PREROUTING -p tcp --dport 6897 -i eth0 -j DNAT --to 192.168.0.18:6897
iptables -t nat -A PREROUTING -p tcp --dport 6898 -i eth0 -j DNAT --to 192.168.0.18:6898
iptables -t nat -A PREROUTING -p tcp --dport 6899 -i eth0 -j DNAT --to 192.168.0.18:6899
iptables -t nat -A PREROUTING -p tcp --dport 6900 -i eth0 -j DNAT --to 192.168.0.18:6900
iptables -t nat -A PREROUTING -p udp --dport 6901 -i eth0 -j DNAT --to 192.168.0.18:6901
echo $EXTIP


toch als ik dit deed kreeg ik dit te zien :

code:
1
2
3
4

[root@widexs] ./internetshare

213.213.227.58
[root@widexs]


Dus mijn eth1 heeft dus toch een IP van multikabel gekregen...

Waarom kan ik dan niet mijn DNS pingen, terwijl eth1 wel een externip krijgt ?!

Alvast bedankt voor hulp.

donderdag 2 oktober 2003 09:59

Acties:
  • Banpei
  • Registratie: Juli 2001
  • Laatst online: 30-04 15:52

Banpei

Je hebt je localhost niet opgenomen in je firewall script. Alles wat je commandline doet wordt gezien alsof je het vanaf je localhost naar iets anders toe zend en als localhost niet in je iptables opgenomen is dropt ie natuurlijk alle pakketjes. ;)

donderdag 2 oktober 2003 10:02

Acties:

Verwijderd

Topicstarter
K, hoe neem ik mijn localhost dan op in mijn firewall script en waarom kan ik niet een nameserver pingen ?!

Want ik kon de dns niet pingen voordat ik dat firewallscript had uitgevoerd.

donderdag 2 oktober 2003 10:07

Acties:
  • Banpei
  • Registratie: Juli 2001
  • Laatst online: 30-04 15:52

Banpei

Verwijderd schreef op 02 October 2003 @ 10:02:
K, hoe neem ik mijn localhost dan op in mijn firewall script en waarom kan ik niet een nameserver pingen ?!

Want ik kon de dns niet pingen voordat ik dat firewallscript had uitgevoerd.
Kan je dan wel andere servers pingen?

Ohja, zag dat ik ook over iets anders heen heb gelezen: hij wil het via 192.168.0.1 versturen, dat duid er ook nog op dat je default gateway op je interne IP staat. Dit kan je wijzigen in je network configuratie (RH is dat /etc/sysconfig/network)

Dit kan je overigens ook controleren door via route -n te kijken wat je routingtabel bevat.

donderdag 2 oktober 2003 10:13

Acties:

Verwijderd

Topicstarter
ik beschik over netconfig waar ik oa de gateway kan aanpassen, maar ik dacht van ik vul maar niets in want de router is natuurlijk de gateway.

Moet ik het IP adres gebruiken van quicknet wat ik toegewezen krijg ?!
En ik kan geen andere servers pingen, behalve in mijn interne netwerk.

Maar je zei iets van dat mijn localhost niet in me firewall script is opgenomen, hoe doe ik dit dan..

[ben nog niet zo héél goed]

donderdag 2 oktober 2003 10:23

Acties:
  • Banpei
  • Registratie: Juli 2001
  • Laatst online: 30-04 15:52

Banpei

Verwijderd schreef op 02 October 2003 @ 10:13:
ik beschik over netconfig waar ik oa de gateway kan aanpassen, maar ik dacht van ik vul maar niets in want de router is natuurlijk de gateway.

Moet ik het IP adres gebruiken van quicknet wat ik toegewezen krijg ?!
En ik kan geen andere servers pingen, behalve in mijn interne netwerk.

Maar je zei iets van dat mijn localhost niet in me firewall script is opgenomen, hoe doe ik dit dan..

[ben nog niet zo héél goed]
Waarschijnlijk blijft localhost gewoon openstaan aangezien je alleen de NAT regels flusht. Dit betekent dus ook dat er vanaf het Internet poorten open kunnen blijven staan als je niet expliciet iedere keer alles flusht en default op DENY zet. Dit moet je natuurlijk zelf weten, maar ik zelf configureer altijd de firewalls op DENY. Ben je wel lang aan het puzzelen om het aan de praat te krijgen, maar liever dat dan dat er nog wat open staat. Zoals nu je firewall geconfigureerd is zou ik zeggen dat ie meer secure van binnenuit is dan van buiten. :/

Als je in je firewall localhost wil opnemen is het device lo en het ip-adres 127.0.0.1

Als jij niet op geeft wat je default gateway is zal Linux (net als elk ander OS overigens) standaard de eerste netwerkkaart pakken als gateway. (eth0 is in jouw geval je interne netwerk) Je kan dus gewoon je toegewezen IP-adres gebruiken als default gateway.

donderdag 2 oktober 2003 10:33

Acties:

Verwijderd

Topicstarter
dus doe ik als default gateway [ip multikabel] in mijn geval 213.213.227.58 uiteraard laat ik me DNS zo staan die van multikabel.
Dan zou ik ook site kunnen pingen / servers ?

Je firewall verhaal snap ik voor een deel, maar wat zou ik dan aan me scriptje moeten aanpassen ?

donderdag 2 oktober 2003 10:44

Acties:
  • Banpei
  • Registratie: Juli 2001
  • Laatst online: 30-04 15:52

Banpei

Zoals je bij dit voorbeeld ziet doen ze van te voren een deny (als default policy) op de input, output en forward regels. Hierna worden alle user-defined policies geflusht (-F) en daarna zetten ze de user-defined policies specifiek voor devices bepaalde poorten open. Hierdoor bepaal je heel strict wat wel en niet mag, terwijl bij jouw firewall je dus niet de default policy gewijzigd wordt (ACCEPT) en dus jouw regels boven op de default policy terecht komt: wat dus resulteerd in eigenlijk geen wijziging in de regels.

donderdag 2 oktober 2003 10:50

Acties:

Verwijderd

Topicstarter
Dank je wel voor je hulp ik ga eerst even aan de slag ... maar ik ga eerst proberen internet te delen en dan die link van jou gebruiken!
:) thanks!

donderdag 2 oktober 2003 14:36

Acties:
  • Zwerver
  • Registratie: Februari 2001
  • Niet online

Zwerver

**blaat** verkeerd gelezen
edit:
edit 2:

Toch goed gelezen. Kijk eens na wat de gateway is die je van multikabel krijgt? En doe dan eens een route geven om te kijken wat je default gw is? Staat dat ip er tussen? Zo nee, denk je niet dat het handig is om je Internet te benaderen via de gateway van je ISP?

[ Voor 176% gewijzigd door Zwerver op 02-10-2003 14:39 . Reden: damn damn damn had ik het wel goed gelezen ]

Woonachtig Down Under. Ik negeer je insults niet, maar tegen de tijd dat ik ze lees zijn ze meestal niet relevant meer

donderdag 2 oktober 2003 16:35

Acties:
  • Mark
  • Registratie: Juni 1999
  • Laatst online: 22:58

Mark

Euh, in jou script:

code:
1

iptables -A FORWARD -s 193.168.0.0/24 -j ACCEPT


Misschien eens aanpassen in 192.168.0.0/24 ??
Pagina: 1
Reageer