ok, ich schaffs einfach nicht Masquerading zu aktivieren.
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward
sollte doch reichen? klappt aber nicht....
kernel ist 2.6.11-1.14_FC3
ich hab gegoogelt und gegoogelt und überall findet man nur was darüber, dass man die zwei zeilen ins firewall-script einbauen soll.
woran kann denn das liegen, dass das nicht geht?
On Sun, 15 May 2005 23:27:54 +0200, Florian Krammel wrote:
ok, ich schaffs einfach nicht Masquerading zu aktivieren.
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward
sollte doch reichen? klappt aber nicht....
kernel ist 2.6.11-1.14_FC3
ich hab gegoogelt und gegoogelt und überall findet man nur was darüber, dass man die zwei zeilen ins firewall-script einbauen soll.
woran kann denn das liegen, dass das nicht geht?
Wie sieht Dein "firewall-script" aus? Ausgabe von "iptables-save". Wie sehen Deine Tests aus?
Am Montag, den 16.05.2005, 00:02 +0200 schrieb Michael Schwendt:
On Sun, 15 May 2005 23:27:54 +0200, Florian Krammel wrote:
ok, ich schaffs einfach nicht Masquerading zu aktivieren.
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward
sollte doch reichen? klappt aber nicht....
kernel ist 2.6.11-1.14_FC3
ich hab gegoogelt und gegoogelt und überall findet man nur was darüber, dass man die zwei zeilen ins firewall-script einbauen soll.
woran kann denn das liegen, dass das nicht geht?
Wie sieht Dein "firewall-script" aus? Ausgabe von "iptables-save". Wie sehen Deine Tests aus?
beim firewall script hab ich mich jetzt mal nur auf Masquerading beschränkt:
------------------------------------------------------ #!/bin/sh iptables -F FORWARD iptables -F INPUT iptables -F OUTPUT iptables -F -t nat
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward echo 1 > /proc/sys/net/ipv4/ip_dynaddr -------------------------------------------------------
die ausgabe von iptables-save:
----------------------------------------------------------------------- # Generated by iptables-save v1.2.11 on Mon May 16 00:12:02 2005 *nat :PREROUTING ACCEPT [3283:340803] :POSTROUTING ACCEPT [2049:145210] :OUTPUT ACCEPT [2989:203279] -A POSTROUTING -o eth0 -j MASQUERADE COMMIT # Completed on Mon May 16 00:12:02 2005 # Generated by iptables-save v1.2.11 on Mon May 16 00:12:02 2005 *filter :INPUT ACCEPT [2526:1062650] :FORWARD DROP [0:0] :OUTPUT ACCEPT [2603:177269] COMMIT # Completed on Mon May 16 00:12:02 2005 -----------------------------------------------------------------------
getestet wurde das über mehrere Laptops mit WinXP und einem zweit Rechner mit Win2k.
ping google.de
bringt einen nicht erreichbaren host. Als Standartgateway ist meine IP eingetragen...
ist das vielleicht ein redhat/fedora spezifisches problem? mit rh 7.3 ging das problemlos. Ab rh 8 gings dann aufeinmal nicht mehr. Und jetzt mit FC3 wo ich Masquerading wieder benötigen würde gehts auch nicht mehr.... Ich hab aber jetzt nirgends ein vergleichbares Problem gefunden....
On Mon, 16 May 2005 00:30:09 +0200, Florian Krammel wrote:
ok, ich schaffs einfach nicht Masquerading zu aktivieren.
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward
sollte doch reichen? klappt aber nicht....
kernel ist 2.6.11-1.14_FC3
ich hab gegoogelt und gegoogelt und überall findet man nur was darüber, dass man die zwei zeilen ins firewall-script einbauen soll.
woran kann denn das liegen, dass das nicht geht?
Wie sieht Dein "firewall-script" aus? Ausgabe von "iptables-save". Wie sehen Deine Tests aus?
beim firewall script hab ich mich jetzt mal nur auf Masquerading beschränkt:
#!/bin/sh iptables -F FORWARD iptables -F INPUT iptables -F OUTPUT iptables -F -t nat
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward echo 1 > /proc/sys/net/ipv4/ip_dynaddr
die ausgabe von iptables-save:
# Generated by iptables-save v1.2.11 on Mon May 16 00:12:02 2005 *nat :PREROUTING ACCEPT [3283:340803] :POSTROUTING ACCEPT [2049:145210] :OUTPUT ACCEPT [2989:203279] -A POSTROUTING -o eth0 -j MASQUERADE COMMIT # Completed on Mon May 16 00:12:02 2005 # Generated by iptables-save v1.2.11 on Mon May 16 00:12:02 2005 *filter :INPUT ACCEPT [2526:1062650] :FORWARD DROP [0:0]
^^^^ *Bzzzt!* Hierdurch ist IP-Forwarding schonmal verhindert.
:OUTPUT ACCEPT [2603:177269] COMMIT
# Completed on Mon May 16 00:12:02 2005
und wie schalt ich das frei? ich habs jetzt mal mit
iptables -A FORWARD -t filter -j ACCEPT
versucht, bin mit iptables aber nicht so vertraut... geht immernoch nicht obwohl jetzt accept drin steht, muss ich vielleicht noch die Ports angeben?
ich weis, ich könnte jetzt ein bißchen dokumentation zu rate ziehen, aber ich will mich nicht durch hunderte seiten an informationen wühlen, weil ich nur masquerading brauche....
iptables-save ------------------------------------------------------------------ # Generated by iptables-save v1.2.11 on Mon May 16 12:18:15 2005 *nat :PREROUTING ACCEPT [5050:315829] :POSTROUTING ACCEPT [33:1915] :OUTPUT ACCEPT [1319:80309] -A POSTROUTING -o ppp0 -j MASQUERADE COMMIT # Completed on Mon May 16 12:18:15 2005 # Generated by iptables-save v1.2.11 on Mon May 16 12:18:15 2005 *filter :INPUT ACCEPT [30465:7265868] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [34486:2992711] -A FORWARD -j ACCEPT COMMIT # Completed on Mon May 16 12:18:15 2005 ---------------------------------------------------------------------
mfg Florian
On Mon, 16 May 2005 12:29:53 +0200, Florian Krammel wrote:
und wie schalt ich das frei? ich habs jetzt mal mit
iptables -A FORWARD -t filter -j ACCEPT
versucht, bin mit iptables aber nicht so vertraut...
"iptables -P FORWARD ACCEPT" wäre es gewesen. Aber irgendwie hast Du das auch zusätzlich ausgeführt. Sonst würde bei Dir die "default policy" nicht plötzlich auf ACCEPT stehen. Die oben eingegebene Regel ist derzeit redundant (stattdessen könntest Du auf -j LOG springen ;).
geht immernoch nicht obwohl jetzt accept drin steht, muss ich vielleicht noch die Ports angeben?
Nein. Du mußt jedoch sicherstellen, daß
* die Clients das Gateway sehen und erreichen, * das Gateway die Clients sieht und erreicht, * die Clients DNS-Server konfiguriert haben, wenn Du nicht nur IP Adressen ansprechen möchtest.
ok, ich danke euch für euere hilfe, masquerading funktioniert jetzt bis zum nächsten problem ;)
mfg florian
Am Montag, den 16.05.2005, 12:58 +0200 schrieb Michael Schwendt:
On Mon, 16 May 2005 12:29:53 +0200, Florian Krammel wrote:
und wie schalt ich das frei? ich habs jetzt mal mit
iptables -A FORWARD -t filter -j ACCEPT
versucht, bin mit iptables aber nicht so vertraut...
"iptables -P FORWARD ACCEPT" wäre es gewesen. Aber irgendwie hast Du das auch zusätzlich ausgeführt. Sonst würde bei Dir die "default policy" nicht plötzlich auf ACCEPT stehen. Die oben eingegebene Regel ist derzeit redundant (stattdessen könntest Du auf -j LOG springen ;).
geht immernoch nicht obwohl jetzt accept drin steht, muss ich vielleicht noch die Ports angeben?
Nein. Du mußt jedoch sicherstellen, daß
- die Clients das Gateway sehen und erreichen,
- das Gateway die Clients sieht und erreicht,
- die Clients DNS-Server konfiguriert haben, wenn Du nicht nur IP Adressen ansprechen möchtest.
-- Fedora-de-list mailing list Fedora-de-list@redhat.com http://www.redhat.com/mailman/listinfo/fedora-de-list
Wie wäre es mit folgendem einfachen Teil:
/etc/sysconfig/iptables: *nat -A PREROUTING -m state --state RELATED,ESTABLISHED -j ACCEPT -A PREROUTING -m state --state ESTABLISHED -A POSTROUTING -i eth0 -o ppp0 -j MASQUERADE COMMIT
Und in /etc/sysctl.conf: net.ipv4.ip_forward = 1
Dann kannst du deine Firewall mit /etc/init.d/iptables start/stop starten und stoppen. Und hast es RH/FC-like gemacht. :-)
Lg, Oliver
-----Original Message----- From: fedora-de-list-bounces@redhat.com [mailto:fedora-de-list-bounces@redhat.com] On Behalf Of Florian Krammel Sent: Monday, May 16, 2005 2:22 PM To: Fedora discussions in German Subject: Re: FC3 Routing klappt nicht
ok, ich danke euch für euere hilfe, masquerading funktioniert jetzt bis zum nächsten problem ;)
mfg florian
Am Montag, den 16.05.2005, 12:58 +0200 schrieb Michael Schwendt:
On Mon, 16 May 2005 12:29:53 +0200, Florian Krammel wrote:
und wie schalt ich das frei? ich habs jetzt mal mit
iptables -A FORWARD -t filter -j ACCEPT
versucht, bin mit iptables aber nicht so vertraut...
"iptables -P FORWARD ACCEPT" wäre es gewesen. Aber
irgendwie hast Du
das auch zusätzlich ausgeführt. Sonst würde bei Dir die "default policy" nicht plötzlich auf ACCEPT stehen. Die oben
eingegebene Regel
ist derzeit redundant (stattdessen könntest Du auf -j LOG
springen ;).
geht immernoch nicht obwohl jetzt accept drin steht, muss ich vielleicht noch die Ports angeben?
Nein. Du mußt jedoch sicherstellen, daß
- die Clients das Gateway sehen und erreichen,
- das Gateway die Clients sieht und erreicht,
- die Clients DNS-Server konfiguriert haben, wenn Du nicht nur IP Adressen ansprechen möchtest.
-- Fedora-de-list mailing list Fedora-de-list@redhat.com http://www.redhat.com/mailman/listinfo/fedora-de-list
-- Florian Krammel florian_kr@gmx.de
-- Fedora-de-list mailing list Fedora-de-list@redhat.com http://www.redhat.com/mailman/listinfo/fedora-de-list
Am So, den 15.05.2005 schrieb Florian Krammel um 23:27:
ok, ich schaffs einfach nicht Masquerading zu aktivieren.
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward
Letzteres solltest du in /etc/sysctl.conf setzen.
sollte doch reichen? klappt aber nicht....
"klappt nicht"? Beide Einstellungen werden nicht gesetzt?
kernel ist 2.6.11-1.14_FC3
woran kann denn das liegen, dass das nicht geht?
Ein typischer Fehler: DNS wird vom Probanden nicht korrekt gesetzt - entweder auf den Clients die DNS Server IPs des Providers oder falls das NAT Gateway selber DNS bietet, dessen IP für DNS. Man sollte auch immer testen, ob der Zugriff aufs Internet am NAT Gateway selber funktioniert, z.B. per "lynx http://www.heise.de". Ferner sind natürlich die übrigen iptables Paketfilter Einstellungen von Belang, wie auch die Routen (netstat -rn).
Alexander
Am Montag, den 16.05.2005, 00:10 +0200 schrieb Alexander Dalloz:
Am So, den 15.05.2005 schrieb Florian Krammel um 23:27:
ok, ich schaffs einfach nicht Masquerading zu aktivieren.
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward
Letzteres solltest du in /etc/sysctl.conf setzen.
sollte doch reichen? klappt aber nicht....
"klappt nicht"? Beide Einstellungen werden nicht gesetzt?
kernel ist 2.6.11-1.14_FC3
woran kann denn das liegen, dass das nicht geht?
Ein typischer Fehler: DNS wird vom Probanden nicht korrekt gesetzt - entweder auf den Clients die DNS Server IPs des Providers oder falls das NAT Gateway selber DNS bietet, dessen IP für DNS. Man sollte auch immer testen, ob der Zugriff aufs Internet am NAT Gateway selber funktioniert, z.B. per "lynx http://www.heise.de". Ferner sind natürlich die übrigen iptables Paketfilter Einstellungen von Belang, wie auch die Routen (netstat -rn).
Alexander
Das mit den IP's der DNS Server auf den Clients einzutragen hab ich schon versucht. Internet geht auch...
Das hier ist kein richtiges Netzwerk, ich will lediglich nur, dass Freunde die mich besuchen kommen und ihr laptop dabei haben damit ins Netz können.
Florian Krammel wrote:
ok, ich schaffs einfach nicht Masquerading zu aktivieren.
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward
Moin,
ich hab das bei mir so gelöst:
$IPTABLES -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
$IPTABLES -A FORWARD -p all -i eth0 -o ppp0 -j ACCEPT $IPTABLES -A FORWARD -i ppp0 -m state --state ESTABLISHED,RELATED -o eth0 -j ACCEPT
eth0 ist das interne device.
Gruß
Michael
de-users@lists.fedoraproject.org