REDHAT 9.0a GDSL - NAT !!Hilfe!!

Das Forum fĂĽr den Linux-Pinguin - auch andere Unix-Derivate (*BSD, (Open)Solaris, Apple's Darwin / MacOS X, ...) sind hier willkommen!
Forumsregeln
Das Forum fĂĽr den Linux-Pinguin - auch andere Unix-Derivate (*BSD, (Open)Solaris, Apple's Darwin / MacOS X, ...) sind hier willkommen!

REDHAT 9.0a GDSL - NAT !!Hilfe!!

Beitragvon ctina » Do 25 Sep, 2003 19:24

Hallo Leute

Beschäftige mich nun seit 1 Woche mit Linux und schaffe es nicht mein heimnetzwerk mit 5 Rechnern über einen Linuxrechner zu routen.

eth0 = 192.168.0.254
eth1 = 80.78.x.x statische Ip adresse von GDSL

vom Router kann ich ins Internet pingen, auĂźerdem soll eine portweiterleitung (80) auf den Typo3 Webserver, mit der ip 192.168.0.1,

eine Portweiterleitung fĂĽr den edonkey client port 4662 + port 25 fĂĽr den mercur Mailserver + 5900 fĂĽr vnc bis ich den ssh tunnel fĂĽr vnc realisiert habe (habe schon darĂĽber gelesen aber noch keine Ahnung wie ich das realisieren soll)
auf Rechner 192.168.0.2

Nun zu den Scripts

Der Inhalt meiner rc.local

#!/bin/sh
#
# This script will be executed *after* all the other init scripts.
# You can put your own initialization stuff in here if you don't
# want to do the full Sys V style init stuff.

touch /var/lock/subsys/local
echo "1" > /proc/sys/net/ipv4/ip_forward
echo modprobe
modprobe ip_conntrack_irc
modprobe ipt_MASQUERADE
modprobe ip_conntrack_ftp
modprobe iptable_nat
#/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
/sbin/iptables-restore < /etc/firewall/fw.conf


Der Inhalt meiner fw.conf unter etc/firewall/

# Generated by iptables-save v1.2.7a on Mon Apr 7 16:45:49 2003
*filter
:INPUT ACCEPT [19:1935]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
#Ă–ffnen der Ports
-A INPUT -i eth1 -p tcp -m tcp --dport 4662:4665 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 5900 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 25 -j ACCEPT


COMMIT
# Completed on Mon Apr 7 16:45:49 2003
# Generated by iptables-save v1.2.7a on Mon Apr 7 16:45:49 2003
*nat
:PREROUTING ACCEPT [19:2394]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A PREROUTING -d 80.78.x.x -p tcp -m tcp --dport 4662:4665 -j DNAT --to-destination 192.168.0.2:4662
-A PREROUTING -d 80.78.x.x -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.1:80
-A PREROUTING -d 80.78.x.x -p tcp -m tcp --dport 5900 -j DNAT --to-destination 192.168.0.2:5900

-A PREROUTING -d 80.78.x.x -p tcp -m tcp --dport 25 -j DNAT --to-destination 192.168.0.2:25

-A POSTROUTING -o eth1 -j MASQUERADE
COMMIT
# Completed on Mon Apr 7 16:45:49 2003

Nun zu meiner Frage was ist an den scripts falsch, ich finde in keinem Forum mehr wirklich eine Hilfe dazu. Ich will endlich weg von windows zumindest alles wo es nicht spielen betrifft.
ctina
Junior Board-Mitglied
Junior Board-Mitglied
 
Beiträge: 34
Registriert: Do 17 Jul, 2003 17:18

Beitragvon HZB » Fr 26 Sep, 2003 09:36

Also das stimmt hinten und vorne nicht. Ich befĂĽrchte das Du Dir nach einer Woche Linux, mit routing, iptables & Co ein sehr komplexes Thema ausgesucht hast um zu beginnen.

ich empfehle Dir :

http://www.harry.homelinux.org/modules.php?name=iptables_Generator

Dieser Generator erzeugt Dir das Script wie Du es benötigst.

hth

Patrick
HZB
Neu im Board
Neu im Board
 
Beiträge: 4
Registriert: So 31 Aug, 2003 13:17
Wohnort: 1040 Wien

Beitragvon Atahualpa » Mo 29 Sep, 2003 14:43

Ab "------..." kopieren
--------------------------
#!/bin/sh

echo "Starting firewall..."

FILTER="/sbin/iptables"
LOG="-j LOG --log-level debug --log-prefix Packet_log"

/sbin/depmod -a

# Enable IP Forwading
echo "1" > /proc/sys/net/ipv4/ip_forward

INTINT="eth1"
ADSLINT="eth0"
INTNET="192.168.0.0/24"
ADSLNET="10.0.0.0/24"
UNIV="0/0"

# Get external interface
EXTINT=$(/sbin/ifconfig | grep 'ppp' | awk '{print $1}')
if [ "$EXTINT" == "" ]; then
echo "Error: No external interface found"
echo "Fehler: Kein Verbindungsaufbau zustande gekommen"
exit 1
fi

# Extract external IP from the external interface
EXTIP=$(/sbin/ifconfig $EXTINT | grep 'inet addr' | awk '{print $2}' | sed -e 's/.*://')
GATEWAY=$(/sbin/ifconfig $EXTINT | grep 'inet addr' | awk '{print $3}' | sed -e 's/.*://')

# if not connected to the internet the script will exit
if [ "$EXTIP" == "" ]; then
echo "Error: Unable to determine IP address on "$EXTINT
echo "Fehler: Unmoeglich eine IP Adresse zu bestimmen"
exit 1
fi

# Flushing older rules
$FILTER -F
$FILTER -t nat -F
$FILTER -P INPUT DROP
$FILTER -P OUTPUT DROP
$FILTER -P FORWARD DROP

echo " - parsing general rules"

$FILTER -A OUTPUT -d 224.0.0.0/8 -j DROP


echo " - parsing rules for lo"

$FILTER -A INPUT -i lo -j ACCEPT
$FILTER -A FORWARD -i lo -j ACCEPT
$FILTER -A OUTPUT -o lo -j ACCEPT

echo " - parsing rules for "$INTINT

# For people who receive their external IP address from either DHCP or
# BOOTP such as ADSL or Cablemodem users, it is necessary to do this.
#
$FILTER -A INPUT -i $INTINT -p udp -s 0/0 --sport 68 -d 0/0 --dport 67 -j ACCEPT

$FILTER -A INPUT -i $INTINT -s $INTNET -j ACCEPT
$FILTER -A FORWARD -i $INTINT -s $INTNET -d $UNIV -j ACCEPT
$FILTER -A OUTPUT -o $INTINT -d $UNIV -j ACCEPT

echo " - parsing rules for "$ADSLINT

$FILTER -A INPUT -i $ADSLINT -s $ADSLNET -j ACCEPT
$FILTER -A FORWARD -i $ADSLINT -s $ADSLNET -d $UNIV -j ACCEPT
$FILTER -A OUTPUT -o $ADSLINT -d $UNIV -j ACCEPT

echo " - parsing rules for "$EXTINT

# OPEN PORTS FOR OUTSIDERS HERE

# Closing all major ports for outsiders
#
$FILTER -A INPUT -i $EXTINT -p tcp -s $UNIV -d $EXTIP --dport 1:1023 $LOG
$FILTER -A INPUT -i $EXTINT -p tcp -s $UNIV -d $EXTIP --dport 1:1023 -j DROP

$FILTER -A INPUT -i $EXTINT -p udp -s $UNIV -d $EXTIP --dport 1:1023 $LOG
$FILTER -A INPUT -i $EXTINT -p udp -s $UNIV -d $EXTIP --dport 1:1023 -j DROP
$FILTER -A INPUT -i $EXTINT -p tcp -s $UNIV -d $EXTIP --dport 1723 -j DROP
$FILTER -A INPUT -i $EXTINT -p udp -s $UNIV -d $EXTIP --dport 1723 -j DROP
$FILTER -A INPUT -i $EXTINT -p tcp -s $UNIV -d $EXTIP --dport 5432 -j DROP
$FILTER -A INPUT -i $EXTINT -p tcp -s $UNIV -d $EXTIP --dport 6000 -j DROP
$FILTER -A INPUT -i $EXTINT -p tcp -s $UNIV -d $EXTIP --dport 8080 -j DROP

# remote machines claiming to be local (IP spoofing) get lost
#
$FILTER -A INPUT -i $EXTINT -s $INTNET -d $UNIV $LOG
$FILTER -A INPUT -i $EXTINT -s $INTNET -d $UNIV -j DROP

# remote interface, any source, going to permanent PPP address is valid
#
$FILTER -A INPUT -i $EXTINT -s $UNIV -d $EXTIP/32 -j ACCEPT

# outgoing to local net on remote interface, stuffed routing, deny
#
$FILTER -A OUTPUT -o $EXTINT -s $UNIV -d $INTNET $LOG
$FILTER -A OUTPUT -o $EXTINT -s $UNIV -d $INTNET -j DROP

# outgoing from local net on remote interface, stuffed masq, deny
#
$FILTER -A OUTPUT -o $EXTINT -s $INTNET -d $UNIV $LOG
$FILTER -A OUTPUT -o $EXTINT -s $INTNET -d $UNIV -j DROP

# anything else outgoing on remote interface is valid
#
$FILTER -A OUTPUT -o $EXTINT -s $EXTIP/32 -d $UNIV -j ACCEPT

$FILTER -A FORWARD -i $EXTINT -s $UNIV -d $INTNET -j ACCEPT

echo " - parsing nat rules"
# masquerade all internal IPs going outside, with dynIP use MASQUERADE instead of SNAT
#
$FILTER -t nat -F
$FILTER -t nat -A POSTROUTING -o $EXTINT -s $INTNET -d ! $INTNET -j MASQUERADE

echo " - parsing portforwarding rules"

# EDITIERE INTERNERPC:
$FILTER -t nat -A PREROUTING -i $EXTINT -p udp -d $EXTIP --dport 2300:2400 -j DNAT --to INTERNERPC
# MORE RULES HERE

echo "done".
--------------------------

bis vor "-------..."


Schöne Grüße,
Ata
Atahualpa
Junior Board-Mitglied
Junior Board-Mitglied
 
Beiträge: 59
Registriert: Mi 02 Jul, 2003 14:07

Beitragvon Atahualpa » Di 30 Sep, 2003 10:14

oops sorry sehe dass GDSL nicht auf ppp aufbaut.

In dem fall einfach ein wenig umbauen
Atahualpa
Junior Board-Mitglied
Junior Board-Mitglied
 
Beiträge: 59
Registriert: Mi 02 Jul, 2003 14:07

Danke Leute

Beitragvon ctina » Di 30 Sep, 2003 12:50

DAnke ATahualpa

Hab jetzt diesen Config. Hab sie mir mit diesem Konfigurator den mir hmz empfohlen hat generiert, und bin voll zufrieden. Jetzt kommt noch qmail oder postfix dran dann noch ein php_accelerator für typo3 (des läuft zwar aber elends langsam).



# Generated by iptables-save v1.2.7a on Fri Sep 26 20:59:40 2003
*mangle
:PREROUTING ACCEPT [1937:757227]
:INPUT ACCEPT [40:17537]
:FORWARD ACCEPT [1896:739586]
:OUTPUT ACCEPT [6:681]
:POSTROUTING ACCEPT [1901:739923]
COMMIT
# Completed on Fri Sep 26 20:59:40 2003
# Generated by iptables-save v1.2.7a on Fri Sep 26 20:59:40 2003
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:MY_DROP - [0:0]
:MY_REJECT - [0:0]
-A INPUT -m state --state INVALID -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j MY_DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j MY_DROP
-A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j MY_DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,RST FIN,RST -j MY_DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,ACK FIN -j MY_DROP
-A INPUT -p tcp -m tcp --tcp-flags PSH,ACK PSH -j MY_DROP
-A INPUT -p tcp -m tcp --tcp-flags ACK,URG URG -j MY_DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -i eth1 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth0 -m state --state NEW -j ACCEPT
-A INPUT -j MY_REJECT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j MY_DROP
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j MY_DROP
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j MY_DROP
-A FORWARD -p tcp -m tcp --tcp-flags FIN,RST FIN,RST -j MY_DROP
-A FORWARD -p tcp -m tcp --tcp-flags FIN,ACK FIN -j MY_DROP
-A FORWARD -p tcp -m tcp --tcp-flags PSH,ACK PSH -j MY_DROP
-A FORWARD -p tcp -m tcp --tcp-flags ACK,URG URG -j MY_DROP
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -i ! eth1 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.0.1 -i eth1 -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 192.168.0.2 -i eth1 -p tcp -m state --state NEW -m tcp --dport 110 -j ACCEPT
-A FORWARD -d 192.168.0.2 -i eth1 -p tcp -m state --state NEW -m tcp --dport 143 -j ACCEPT
-A FORWARD -d 192.168.0.2 -i eth1 -p tcp -m state --state NEW -m tcp --dport 25 -j ACCEPT
-A FORWARD -d 192.168.0.2 -i eth1 -p tcp -m state --state NEW -m tcp --dport 4661 -j ACCEPT
-A FORWARD -d 192.168.0.2 -i eth1 -p tcp -m state --state NEW -m tcp --dport 4662 -j ACCEPT
-A FORWARD -d 192.168.0.2 -i eth1 -p tcp -m state --state NEW -m tcp --dport 5900 -j ACCEPT
-A FORWARD -d 192.168.0.2 -i eth1 -p udp -m state --state NEW -m udp --dport 5900 -j ACCEPT
-A FORWARD -j MY_REJECT
-A OUTPUT -m state --state INVALID -j DROP
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -j MY_REJECT
-A MY_DROP -j DROP
-A MY_REJECT -p tcp -j REJECT --reject-with tcp-reset
-A MY_REJECT -p udp -j REJECT --reject-with icmp-port-unreachable
-A MY_REJECT -p icmp -j DROP
-A MY_REJECT -j REJECT --reject-with icmp-proto-unreachable
COMMIT
# Completed on Fri Sep 26 20:59:40 2003
# Generated by iptables-save v1.2.7a on Fri Sep 26 20:59:40 2003
*nat
:PREROUTING ACCEPT [197:28718]
:POSTROUTING ACCEPT [31:2968]
:OUTPUT ACCEPT [1:72]
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.1
-A PREROUTING -i eth1 -p tcp -m tcp --dport 110 -j DNAT --to-destination 192.168.0.2
-A PREROUTING -i eth1 -p tcp -m tcp --dport 143 -j DNAT --to-destination 192.168.0.2
-A PREROUTING -i eth1 -p tcp -m tcp --dport 25 -j DNAT --to-destination 192.168.0.2
-A PREROUTING -i eth1 -p tcp -m tcp --dport 4661 -j DNAT --to-destination 192.168.0.2
-A PREROUTING -i eth1 -p tcp -m tcp --dport 4662 -j DNAT --to-destination 192.168.0.2
-A PREROUTING -i eth1 -p tcp -m tcp --dport 5900 -j DNAT --to-destination 192.168.0.2
-A PREROUTING -i eth1 -p udp -m udp --dport 5900 -j DNAT --to-destination 192.168.0.2
-A POSTROUTING -o eth0 -p tcp -m tcp --dport 80 -j SNAT --to-source 192.168.0.254
-A POSTROUTING -o eth0 -p tcp -m tcp --dport 110 -j SNAT --to-source 192.168.0.254
-A POSTROUTING -o eth0 -p tcp -m tcp --dport 143 -j SNAT --to-source 192.168.0.254
-A POSTROUTING -o eth0 -p tcp -m tcp --dport 25 -j SNAT --to-source 192.168.0.254
-A POSTROUTING -o eth0 -p tcp -m tcp --dport 4661 -j SNAT --to-source 192.168.0.254
-A POSTROUTING -o eth0 -p tcp -m tcp --dport 4662 -j SNAT --to-source 192.168.0.254
-A POSTROUTING -o eth0 -p tcp -m tcp --dport 5900 -j SNAT --to-source 192.168.0.254
-A POSTROUTING -o eth0 -p udp -m udp --dport 5900 -j SNAT --to-source 192.168.0.254
-A POSTROUTING -o eth1 -j MASQUERADE
COMMIT
ctina
Junior Board-Mitglied
Junior Board-Mitglied
 
Beiträge: 34
Registriert: Do 17 Jul, 2003 17:18


ZurĂĽck zu LINUX & UNIX-DERIVATE

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 48 Gäste