xDSL.at

[gmcpaul]

# Enable IP-forwarding at startup
# load modules
/sbin/depmod -a
/sbin/modprobe ip_masq_ftp
/sbin/modprobe ip_masq_raudio
/sbin/modprobe ip_masq_irc
/sbin/modprobe ip_masq_cuseeme
/sbin/modprobe ip_masq_vdolive
# set file 1
echo 1 > /proc/sys/net/ipv4/ip_forward
ipchains -P forward DENY
ipchains -A forward -s 192.168.0.0/255.255.255.0 -j MASQ


das is mein altes script ... funzt aber in suse 7.2 nimma hat wer n tipp ?

thx

[Manuel Capellari]

versuchs mal damit ...

<b>iptables -t nat -a POSTROUTING -o ppp0 -j MASQUERADE</b>

[gmcpaul]

öhm er nimmt das -a nicht...

könnt ich auch so in der richtung schreiben ?
iptables -t nat -a POSTROUTING -o 10.0.0.138 -j MASQUERADE

hab leider keinen schimmer von dem routing zeug
aber ich will endlich auf den 2.4er kernel umsteigen und da geht das mit dem ipchains nimmer was ich so gehört hab

[gmcpaul]

hab da was in einem anderen forum gedfunden...

iptables -A FORWARD -i ppp0 -o eth0 -m state --state ESTABLISHED, RELATED -j ACCEPT

verstehe ich das richtig dass auf eth0 geroutet wird wenn ppp0 steht ?

[Floh]

tja.. das ganze hat eigentlich nichts mit routing zu tun... das was hier angesprochen wird ist masquerading, eine spezielle form des nat (network address translation) - zu diesem zeitpunkt (wenn es um masquerading geht) steht die route schon längst fest

ich nehm mal an seit der suse 7.2 ist ein 2.4.x kernel dabei... da stellt sich die frage: sind die iptables ODER die ipchains configuriert / compiliert

wenn du selber den kernel configurieren und compilieren kannst, kannst du einfach die ipchains configurieren und deine scripts/configuration wie bisher verwenden

wenn nicht und es sind die iptables configuriert/compiliert dann fuktioniert das ganze natürlich nicht mehr auf diese art und weise, da dann nur noch iptables und keine ipchains mehr zur verfügung stehen

welche module da notwendig sind, weiss ich im moment auch nicht, da ich aus prinzip immer alles fest in den kernel integriere.

aber das configurieren der des masquerading / nat selber musst du dann so machen:

iptables --table nat --append POSTROUTING --output-interface ppp0 --jump MASQUERADE

und dass du hier die ip-addresse angibtst funktioniert nicht... du must dein ppp-interface angeben bzw. dasjenige über welches die daten rausgehen

erklärung zu der nat-rule:
--table nat gibt an, dass diese rule in die nat table eingefügt wird
--append POSTROUTING gibt an, dass die rule angehägt wird (insert, replace, delete ist auch möglich), POSTROUTING gibt die chain an... in desem falls trifft diese rule nur zu nachdem die route (das ziel) für die daten längst festgelegt wurde, allerdings noch bevor sie gefiltert werden (solche eine filter-rule wäre eine wie du sie in deinem letztem post geschrieben hast)... damit kannst du erreichen, dass deine packte bevor sie den pc verlassen mit einer anderen ursprungs-addresse ausgestattet werden (somit erscheit es für den empfänger des datenpacket, als sei es von wo anders gekommen als es tatsächlich ist)
--jump MASQUERADE das ist die aktion, die auf das datenpacket angewendet wird, wenn es auf diese regel (rule) zutrifft... in diesem fall ist wird die ursprungsaddresse verschleiert

ich hoffe das war mal wieder nicht zu kompliziert
Floh

[Floh]

PS:
das forwarding musst du natürlich genau wie bisher auch aktivieren
ein DENY auf die FORWARD chain darfst du bei den iptables nicht mehr machen, denn dann würde die ursprungsadresse der pakete zwar richtig verschleiert aber die würden rausgefiltert werden.