Masquerading mit Suse7.1

Das Forum fĂĽr den Linux-Pinguin - auch andere Unix-Derivate (*BSD, (Open)Solaris, Apple's Darwin / MacOS X, ...) sind hier willkommen!
Forumsregeln
Das Forum fĂĽr den Linux-Pinguin - auch andere Unix-Derivate (*BSD, (Open)Solaris, Apple's Darwin / MacOS X, ...) sind hier willkommen!

RE: Masquerading mit Suse7.1

Beitragvon Tom » Mi 06 Jun, 2001 20:24

<HTML>hi

also ich kann von pc2 (windoof) die ip's von pc1 (linux) pingen
10.0.0.140 ok
192.168.0.1 ok
nur 10.0.0.138 geht nicht, keine ahnung warum nicht??

ich kann auch von pc1 den pc2 pingen (192.168.0.2)
ja ich kann auch von pc1 ins www pingen.
das mitn script schlug fehl (posting oben)

mfg
tom


</HTML>
Tom
 

RE: Masquerading mit Suse7.1

Beitragvon Tom » Mi 06 Jun, 2001 20:32

hi nochmal

ok dh. ich brauchnen neuen kernel.
suse 7.1 hat 2 kernels zur auswahl:
2.2 was weiss ich was
und 2.4

wäre 2.4 des rätsels lösung, oder muss ich die module per
Handl in den kernel eintragen???

mfg
tom
Tom
 

RE: Masquerading mit Suse7.1

Beitragvon Manuel Capellari » Mi 06 Jun, 2001 21:10

also fĂĽr iptables bedarfs 2.4.x (wobei 2.4.4 oder 2.4.5 vor zu ziehen sind)

>wäre 2.4 des rätsels lösung, oder muss ich die module per
ich wĂĽrds im kernel einkompilieren, dann sollts hoffentlich hin hauen
Manuel Capellari
 

RE: Masquerading mit Suse7.1

Beitragvon quay » Mi 06 Jun, 2001 21:17

poste mal den output von

ipchains -L

--quay
quay
 

RE: Masquerading mit Suse7.1

Beitragvon Tom » Mi 06 Jun, 2001 21:47

hi

linux:~ # ipchains -L
Chain input (policy ACCEPT):
Chain forward (policy ACCEPT):
Chain output (policy ACCEPT):

mfg
tom
Tom
 

RE: Masquerading mit Suse7.1

Beitragvon quay » Mi 06 Jun, 2001 22:23

naja.....dann ist ja wohl klar warum masq nicht geht .....*lol*

du hast nichts in der forward chain...

trag das ein was ich weiter oben geschrieben hab.....

hier.....diese beiden befehle :

ipchains -P forward DENY ipchains -A forward -s 192.168.0.2/32 -i eth1 -j MASQ

und damit ist die sache geritzt....

diese beiden befehle mĂĽsstest du noch in ein startscript einbinden.....weil sobald du den rechner rebootest ist das weg.......

--quay
quay
 

RE: Masquerading mit Suse7.1

Beitragvon quay » Mi 06 Jun, 2001 22:26

das sind natürlich 2 getrennte befehle.....nach dem DENY fängt der 2te an
quay
 

iptables

Beitragvon Manuel Capellari » Mi 06 Jun, 2001 22:49

ich wĂĽrds trotzdem mit iptables unter 2.4.x machen, das is zwar noch relativ neu, bietet aber interessante features wie z.b. connection tracking und dergleichen (fĂĽr reines masquerading vielleicht etwas ĂĽbertrieben, aber fĂĽr firewalling isses interessant)
Manuel Capellari
 

RE: iptables

Beitragvon Tom » Mi 06 Jun, 2001 23:09

hi

danke erstmal fĂĽr die vielen postings (quay, manuel,..)

leider funktioniert es mit beiden ipchains befehlen nicht!
keine ahnung warum? irgendwie bekommt pc2 keine daten zurĂĽck
denn im ie5 (pc2) sucht er 2-3 minuten
z.b: www.gmx.at
www.autosearch.msn.com
www.gmx.at.org
www.gmx.at.com
usw.
kann es sich hier um ein dns problem handeln?

linux:~ # ipchains -L
Chain input (policy ACCEPT):
Chain forward (policy DENY):
target prot opt source destination ports
MASQ all ------ 192.168.0.2 anywhere n/a
Chain output (policy ACCEPT):
Tom
 

RE: iptables

Beitragvon Manuel Capellari » Mi 06 Jun, 2001 23:17

<HTML>>ipchains -P forward DENY ipchains -A forward -s 192.168.0.2/32 -i eth1 -j MASQ
192.168.0.2/32 ???? sollte wohl eher /24 stehen

zudem, falls dein output von ifconfig immer noch der selbe ist, wie oben gepostet, hast du kein 192.168.0.2 auf diesen rechner gebunden, versuchs mal mit:
ipchains -P forward DENY ipchains -A forward -s 192.168.0.1/24 -i eth1 -j MASQ

ich schau mal ob ich noch irgendwo eine alte 2.2er konfiguration fĂĽr masquerading rumliegen hab, wenn ich was find poste ich's hier (vermutlich aber erst morgen)</HTML>
Manuel Capellari
 

RE: iptables

Beitragvon quay » Do 07 Jun, 2001 09:13

"192.168.0.2/32 ???? sollte wohl eher /24 stehen"

wieso ?.....32 stimmt.....alles was von seinem client rechner kommt wird gemasqued.....er hat ja nur 1..


"zudem, falls dein output von ifconfig immer noch der selbe ist, wie oben gepostet, hast du kein 192.168.0.2 auf diesen rechner gebunden, versuchs mal mit"

er hat doch 192.168.0.2 auf eth1 gebunden......nicht gesehen ?...steht ja in dem ifconfig output !

"ipchains -A forward -s 192.168.0.1/24 -i eth1 -j MASQ"

hast dich da nicht verschrieben ?...*g*......nein.....das mit 32 passt schon....und natĂĽrlich muss dann da stehen 192.168.0.2 (!)

naja.....es mag sein dass der 2.4er kernel mehr optionen bietet...aber wenn er sich eh schon nicht so gut auskennt halt ichs für keine gute idee wenn er jetzt anfängt mit einem neuen kernel rumzuspielen....

so...@tom

du hast auf dem client die dns server deines isp´s eingetragen und den linux rechner als gateway ?......doublecheck...;))

ahhhhhh.......wart mal...........mir fällt was ein.....du hast auf dem client rechner win2k laufen ?......wenn du auf dem win2k rechner noch die alte dfü verbindung konfiguriert hast (von der zeit als du den linux rechner noch nicht hattest und direkt ins netz gegangen bist), da gibts folgende option:
ruf mal die dfü-verbindungen auf , geh oben auf erweitert und auf erweiterte einstellungen, dann siehst du da in dem fenster "verbindungen" alle deine dfü´s, stell sicher dass die "LAN-verbindung" deines lokalen netzes ganz oben steht, denn sonst schickt er alle requests an die verbindung bzw. über das interface das an erster stelle steht.....;)
probier das mal......

--quay
quay
 

nachtrag

Beitragvon quay » Do 07 Jun, 2001 09:36

weils mir grad einfällt :

vergiss das, redhat-isos aus dem internet zu saugen, ich kauf mir meine linux distris immer bei frank-cdrom : www.pinguin.at

und zwar die kleinen versionen, d.h. nicht die powerpacks sondern - er bezeichnet sie so - die GPL-versionen.
bestehen aus 2 cd´s, binaries und source, und da hast auch alles drauf was du brauchst.
und was du sonst noch brauchst kannst immer noch aus dem netz laden.
btw .: auch info findet man genug im net, aber wennst ein wirklich gutes buch fĂĽr redhat brauchst : "red hat linux server" ISBN : 3-8266-0601-9
das ist wirklich ein ausgezeichnetes buch, beschreibt alle aspekte eines linux systems, und hat dann auch noch ein eigenes kapitel wo beschrieben wird wie man den rechner am besten absichert.

was ich dir empfehlen würde : bestell dir die neue mandrake 8.0 version, es ist irrsinnig anwenderfreundlich, leicht zu installieren, und es ist 100% redhat kompatibel, man kann alle redhat pakete auch für mandrake verwenden, ausserdem hält es sich an die allgemeinen linux-konventionen.
www.linux-mandrake.com
costa quanta ?.....so um die 250 ats für die 2 cd´s + 50 ats versandkosten.
glaub mir, es spart nerven *g*, ich bestell meine linux updates nur mehr dort..

--quay
quay
 

RE: nachtrag

Beitragvon Tom » Do 07 Jun, 2001 12:04

ok

nochmal zur config

PC1 (Linux) Server
(bzw. Win9x)
eth0 10.0.0.140
eth1 192.168.0.1

PC2 (Win2k/9x) Client
eth0 (quasi) 192.168.0.2

(also die einfachste art der freien ip addressen im klasse C netzt)
also es ist völlig egal ob ich ipchains mit 192.168.0.1 bzw. 192.168.0.2 probier, keins der beiden commands funktioniert...

aufn Client unter Win2k hab ich DNS+Gateway (192.168.0.1) eingetragen, die LAN Connection in DFĂś/Erweitert/Erweiterte Einstellungen ist die erste Verbindung (ĂĽbrigens ich war vorher noch nie mitn Client im Internet, da ich aber auf beiden rechnern auch Win9x installiert hab, hab ichs schon mit ICS + Sygate Network usw. ausprobiert, damit hauts auch hin)
nur denk ich mir halt wenn ich schon linux auf (pc1) installiert hab wäre es sicher gscheiter linux als gateway zu nutzen als ein Win9x system. Vielleicht hab ich ja auch irgendwas vergessen. Wenn Linux startet logge ich mich als root ein, dann kommt mit pptp 10.0.0.138 die internet connection und dann die ipchains befehle oder ??
dhcp ist auf jedenfall in der rc.config deaktiviert, da ich ja beiden Nics feste ip addressen zugewiesen hab.
Zugegeben mitn Kernel herumspielen, wird noch etwas länger dauern.. (Neuling *g*)
Leider gibt auch das suse handbuch in kombination mit masquerading nicht viel her, aber es muss doch irgendwie funktionieren...
mfg
tom
Tom
 

RE: nachtrag

Beitragvon quay » Do 07 Jun, 2001 13:17

hmm...das einzige was mir jetzt noch einfällt ist mit tcpdump zu überprüfen ob die pakete überhaupt rausgehen......

check mal "tcpdump -i eth1", und dann versuchst von dem win client mit dem IE ins netz zu gehen.
wenn du die requests sehen kannst, dann funkt mal die verb. von win nach linux.

dann probierst "tcpdump -i eth0" und probierst wieder vom client ins netz zu gehen, sieh auch hier nach ob du 1) die requests sehen kannst wie sie den linux gateway verlassen und 2) ob da irgendwelche antworten zurĂĽckkommen.

ansonten bin ich im moment ziemlich ratlos......

--quay
quay
 

RE: nachtrag

Beitragvon Tom » Do 07 Jun, 2001 14:33

hi

also wenn ich aufn Client (Win2k) z.b: www.max.at eingebe
kommt fol
linux:~ # tcpdump -i eth1
Kernel filter, protocol ALL, datagram packet socket
tcpdump: listening on eth1
15:26:19.676741 192.168.0.2.1049 > 194.152.96.75.domain: 19+ A? www.max.at. (28)
15:26:20.673850 192.168.0.2.1049 > 194.152.96.75.domain: 19+ A? www.max.at. (28)
15:26:22.676967 192.168.0.2.1049 > 194.152.96.75.domain: 19+ A? www.max.at. (28)
15:26:24.680105 192.168.0.2.1049 > minerva.ins.at.domain: 19+ A? www.max.at. (28)
15:26:24.680168 192.168.0.2.1049 > 194.152.96.75.domain: 19+ A? www.max.at. (28)
15:26:28.686266 192.168.0.2.1049 > minerva.ins.at.domain: 19+ A? www.max.at. (28)
15:26:28.686328 192.168.0.2.1049 > 194.152.96.75.domain: 19+ A? www.max.at.

dh. die verbindung von Win2k und Linux sollte funktionieren
nur wenn ich eth0 checke tut sich
leider gar nix....
linux:~ # tcpdump -i eth0
Kernel filter, protocol ALL, datagram packet socket
tcpdump: listening on eth0
15:30:05.045944 linux.local.router > 10.0.0.255.router: rip-resp 2: 192.168.0.0(1) 10.0.0.0(1)
15:30:05.047713 gre-proto-0x880B (gre encap)
15:30:05.250921 [|gre] (gre encap)
15:30:10.045887 arp who-has speed tell linux.local (0:50:ba:e0:72:41)
15:30:10.046778 arp reply speed is-at 0:90:d0:4:34:e9 (0:50:ba:e0:72:41)
15:30:10.056047 gre-proto-0x880B (gre encap)
15:30:10.250627 [|gre] (gre encap)
15:30:11.745955 linux.local.blackjack > speed.pptp: P 1170557188:1170557204(16) ack 376003102 win 32500 <nop,nop,timestamp 772363 21000> (DF)
15:30:11.747507 speed.pptp > linux.local.blackjack: P 1:21(20) ack 16 win 4096 <nop,nop,timestamp 21119 772363>
15:30:11.747999 speed.pptp > linux.local.blackjack: . 21:21(0) ack 16 win 4096 <nop,nop,timestamp 21119 772363>
15:30:11.765882 linux.local.blackjack > speed.pptp: . 16:16(0) ack 21 win 32500 <nop,nop,timestamp 772365 21119> (DF)
15:30:11.767317 speed.pptp > linux.local.blackjack: P 21:37(16) ack 16 win 4096 <nop,nop,timestamp 21120 772363>
15:30:11.767376 linux.local.blackjack > speed.pptp: P 16:36(20) ack 37 win 32500 <nop,nop,timestamp 772365 21120> (DF)
15:30:11.768882 speed.pptp > linux.local.blackjack: . 37:37(0) ack 36 win 4096 <nop,nop,timestamp 21120 772365>

arghh,
tut sich nicht wirklich viel mit eth0,, bei eth1 sehe ich
wenigsten den request von pc2 (www.max.at),,
mfg
tom
Tom
 

VorherigeNächste

ZurĂĽck zu LINUX & UNIX-DERIVATE

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 13 Gäste