xDSL.at

von **ctina** » Do 25 Sep, 2003 19:24

Hallo Leute

Beschäftige mich nun seit 1 Woche mit Linux und schaffe es nicht mein heimnetzwerk mit 5 Rechnern über einen Linuxrechner zu routen.

eth0 = 192.168.0.254
eth1 = 80.78.x.x statische Ip adresse von GDSL

vom Router kann ich ins Internet pingen, außerdem soll eine portweiterleitung (80) auf den Typo3 Webserver, mit der ip 192.168.0.1,

eine Portweiterleitung für den edonkey client port 4662 + port 25 für den mercur Mailserver + 5900 für vnc bis ich den ssh tunnel für vnc realisiert habe (habe schon darüber gelesen aber noch keine Ahnung wie ich das realisieren soll)
auf Rechner 192.168.0.2

Nun zu den Scripts

Der Inhalt meiner rc.local

#!/bin/sh
#
# This script will be executed *after* all the other init scripts.
# You can put your own initialization stuff in here if you don't
# want to do the full Sys V style init stuff.

touch /var/lock/subsys/local
echo "1" > /proc/sys/net/ipv4/ip_forward
echo modprobe
modprobe ip_conntrack_irc
modprobe ipt_MASQUERADE
modprobe ip_conntrack_ftp
modprobe iptable_nat
#/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
/sbin/iptables-restore < /etc/firewall/fw.conf

Der Inhalt meiner fw.conf unter etc/firewall/

# Generated by iptables-save v1.2.7a on Mon Apr 7 16:45:49 2003
*filter
:INPUT ACCEPT [19:1935]
:FORWARD ACCEPT [0:0]

UTPUT ACCEPT [0:0]
#Öffnen der Ports
-A INPUT -i eth1 -p tcp -m tcp --dport 4662:4665 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 5900 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 25 -j ACCEPT

COMMIT
# Completed on Mon Apr 7 16:45:49 2003
# Generated by iptables-save v1.2.7a on Mon Apr 7 16:45:49 2003
*nat

REROUTING ACCEPT [19:2394]

OSTROUTING ACCEPT [0:0]

UTPUT ACCEPT [0:0]
-A PREROUTING -d 80.78.x.x -p tcp -m tcp --dport 4662:4665 -j DNAT --to-destination 192.168.0.2:4662
-A PREROUTING -d 80.78.x.x -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.1:80
-A PREROUTING -d 80.78.x.x -p tcp -m tcp --dport 5900 -j DNAT --to-destination 192.168.0.2:5900

-A PREROUTING -d 80.78.x.x -p tcp -m tcp --dport 25 -j DNAT --to-destination 192.168.0.2:25

-A POSTROUTING -o eth1 -j MASQUERADE
COMMIT
# Completed on Mon Apr 7 16:45:49 2003

Nun zu meiner Frage was ist an den scripts falsch, ich finde in keinem Forum mehr wirklich eine Hilfe dazu. Ich will endlich weg von windows zumindest alles wo es nicht spielen betrifft.

von **HZB** » Fr 26 Sep, 2003 09:36

Also das stimmt hinten und vorne nicht. Ich befürchte das Du Dir nach einer Woche Linux, mit routing, iptables & Co ein sehr komplexes Thema ausgesucht hast um zu beginnen.

ich empfehle Dir :

http://www.harry.homelinux.org/modules.php?name=iptables_Generator

Dieser Generator erzeugt Dir das Script wie Du es benötigst.

hth

Patrick

von **Atahualpa** » Mo 29 Sep, 2003 14:43

Ab "------..." kopieren
--------------------------
#!/bin/sh

echo "Starting firewall..."

FILTER="/sbin/iptables"
LOG="-j LOG --log-level debug --log-prefix Packet_log"

/sbin/depmod -a

# Enable IP Forwading
echo "1" > /proc/sys/net/ipv4/ip_forward

INTINT="eth1"
ADSLINT="eth0"
INTNET="192.168.0.0/24"
ADSLNET="10.0.0.0/24"
UNIV="0/0"

# Get external interface
EXTINT=$(/sbin/ifconfig | grep 'ppp' | awk '{print $1}')
if [ "$EXTINT" == "" ]; then
echo "Error: No external interface found"
echo "Fehler: Kein Verbindungsaufbau zustande gekommen"
exit 1
fi

# Extract external IP from the external interface
EXTIP=$(/sbin/ifconfig $EXTINT | grep 'inet addr' | awk '{print $2}' | sed -e 's/.*://')
GATEWAY=$(/sbin/ifconfig $EXTINT | grep 'inet addr' | awk '{print $3}' | sed -e 's/.*://')

# if not connected to the internet the script will exit
if [ "$EXTIP" == "" ]; then
echo "Error: Unable to determine IP address on "$EXTINT
echo "Fehler: Unmoeglich eine IP Adresse zu bestimmen"
exit 1
fi

# Flushing older rules
$FILTER -F
$FILTER -t nat -F
$FILTER -P INPUT DROP
$FILTER -P OUTPUT DROP
$FILTER -P FORWARD DROP

echo " - parsing general rules"

$FILTER -A OUTPUT -d 224.0.0.0/8 -j DROP

echo " - parsing rules for lo"

$FILTER -A INPUT -i lo -j ACCEPT
$FILTER -A FORWARD -i lo -j ACCEPT
$FILTER -A OUTPUT -o lo -j ACCEPT

echo " - parsing rules for "$INTINT

# For people who receive their external IP address from either DHCP or
# BOOTP such as ADSL or Cablemodem users, it is necessary to do this.
#
$FILTER -A INPUT -i $INTINT -p udp -s 0/0 --sport 68 -d 0/0 --dport 67 -j ACCEPT

$FILTER -A INPUT -i $INTINT -s $INTNET -j ACCEPT
$FILTER -A FORWARD -i $INTINT -s $INTNET -d $UNIV -j ACCEPT
$FILTER -A OUTPUT -o $INTINT -d $UNIV -j ACCEPT

echo " - parsing rules for "$ADSLINT

$FILTER -A INPUT -i $ADSLINT -s $ADSLNET -j ACCEPT
$FILTER -A FORWARD -i $ADSLINT -s $ADSLNET -d $UNIV -j ACCEPT
$FILTER -A OUTPUT -o $ADSLINT -d $UNIV -j ACCEPT

echo " - parsing rules for "$EXTINT

# OPEN PORTS FOR OUTSIDERS HERE

# Closing all major ports for outsiders
#
$FILTER -A INPUT -i $EXTINT -p tcp -s $UNIV -d $EXTIP --dport 1:1023 $LOG
$FILTER -A INPUT -i $EXTINT -p tcp -s $UNIV -d $EXTIP --dport 1:1023 -j DROP

$FILTER -A INPUT -i $EXTINT -p udp -s $UNIV -d $EXTIP --dport 1:1023 $LOG
$FILTER -A INPUT -i $EXTINT -p udp -s $UNIV -d $EXTIP --dport 1:1023 -j DROP
$FILTER -A INPUT -i $EXTINT -p tcp -s $UNIV -d $EXTIP --dport 1723 -j DROP
$FILTER -A INPUT -i $EXTINT -p udp -s $UNIV -d $EXTIP --dport 1723 -j DROP
$FILTER -A INPUT -i $EXTINT -p tcp -s $UNIV -d $EXTIP --dport 5432 -j DROP
$FILTER -A INPUT -i $EXTINT -p tcp -s $UNIV -d $EXTIP --dport 6000 -j DROP
$FILTER -A INPUT -i $EXTINT -p tcp -s $UNIV -d $EXTIP --dport 8080 -j DROP

# remote machines claiming to be local (IP spoofing) get lost
#
$FILTER -A INPUT -i $EXTINT -s $INTNET -d $UNIV $LOG
$FILTER -A INPUT -i $EXTINT -s $INTNET -d $UNIV -j DROP

# remote interface, any source, going to permanent PPP address is valid
#
$FILTER -A INPUT -i $EXTINT -s $UNIV -d $EXTIP/32 -j ACCEPT

# outgoing to local net on remote interface, stuffed routing, deny
#
$FILTER -A OUTPUT -o $EXTINT -s $UNIV -d $INTNET $LOG
$FILTER -A OUTPUT -o $EXTINT -s $UNIV -d $INTNET -j DROP

# outgoing from local net on remote interface, stuffed masq, deny
#
$FILTER -A OUTPUT -o $EXTINT -s $INTNET -d $UNIV $LOG
$FILTER -A OUTPUT -o $EXTINT -s $INTNET -d $UNIV -j DROP

# anything else outgoing on remote interface is valid
#
$FILTER -A OUTPUT -o $EXTINT -s $EXTIP/32 -d $UNIV -j ACCEPT

$FILTER -A FORWARD -i $EXTINT -s $UNIV -d $INTNET -j ACCEPT

echo " - parsing nat rules"
# masquerade all internal IPs going outside, with dynIP use MASQUERADE instead of SNAT
#
$FILTER -t nat -F
$FILTER -t nat -A POSTROUTING -o $EXTINT -s $INTNET -d ! $INTNET -j MASQUERADE

echo " - parsing portforwarding rules"

# EDITIERE INTERNERPC:
$FILTER -t nat -A PREROUTING -i $EXTINT -p udp -d $EXTIP --dport 2300:2400 -j DNAT --to INTERNERPC
# MORE RULES HERE

echo "done".
--------------------------

bis vor "-------..."

Schöne Grüße,
Ata

von **Atahualpa** » Di 30 Sep, 2003 10:14

oops sorry sehe dass GDSL nicht auf ppp aufbaut.

In dem fall einfach ein wenig umbauen

von **ctina** » Di 30 Sep, 2003 12:50

DAnke ATahualpa

Hab jetzt diesen Config. Hab sie mir mit diesem Konfigurator den mir hmz empfohlen hat generiert, und bin voll zufrieden. Jetzt kommt noch qmail oder postfix dran dann noch ein php_accelerator für typo3 (des läuft zwar aber elends langsam).

# Generated by iptables-save v1.2.7a on Fri Sep 26 20:59:40 2003
*mangle

REROUTING ACCEPT [1937:757227]
:INPUT ACCEPT [40:17537]
:FORWARD ACCEPT [1896:739586]

UTPUT ACCEPT [6:681]

OSTROUTING ACCEPT [1901:739923]
COMMIT
# Completed on Fri Sep 26 20:59:40 2003
# Generated by iptables-save v1.2.7a on Fri Sep 26 20:59:40 2003
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]

UTPUT DROP [0:0]
:MY_DROP - [0:0]
:MY_REJECT - [0:0]
-A INPUT -m state --state INVALID -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j MY_DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j MY_DROP
-A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j MY_DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,RST FIN,RST -j MY_DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,ACK FIN -j MY_DROP
-A INPUT -p tcp -m tcp --tcp-flags PSH,ACK PSH -j MY_DROP
-A INPUT -p tcp -m tcp --tcp-flags ACK,URG URG -j MY_DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -i eth1 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth0 -m state --state NEW -j ACCEPT
-A INPUT -j MY_REJECT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j MY_DROP
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j MY_DROP
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j MY_DROP
-A FORWARD -p tcp -m tcp --tcp-flags FIN,RST FIN,RST -j MY_DROP
-A FORWARD -p tcp -m tcp --tcp-flags FIN,ACK FIN -j MY_DROP
-A FORWARD -p tcp -m tcp --tcp-flags PSH,ACK PSH -j MY_DROP
-A FORWARD -p tcp -m tcp --tcp-flags ACK,URG URG -j MY_DROP
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -i ! eth1 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.0.1 -i eth1 -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 192.168.0.2 -i eth1 -p tcp -m state --state NEW -m tcp --dport 110 -j ACCEPT
-A FORWARD -d 192.168.0.2 -i eth1 -p tcp -m state --state NEW -m tcp --dport 143 -j ACCEPT
-A FORWARD -d 192.168.0.2 -i eth1 -p tcp -m state --state NEW -m tcp --dport 25 -j ACCEPT
-A FORWARD -d 192.168.0.2 -i eth1 -p tcp -m state --state NEW -m tcp --dport 4661 -j ACCEPT
-A FORWARD -d 192.168.0.2 -i eth1 -p tcp -m state --state NEW -m tcp --dport 4662 -j ACCEPT
-A FORWARD -d 192.168.0.2 -i eth1 -p tcp -m state --state NEW -m tcp --dport 5900 -j ACCEPT
-A FORWARD -d 192.168.0.2 -i eth1 -p udp -m state --state NEW -m udp --dport 5900 -j ACCEPT
-A FORWARD -j MY_REJECT
-A OUTPUT -m state --state INVALID -j DROP
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -j MY_REJECT
-A MY_DROP -j DROP
-A MY_REJECT -p tcp -j REJECT --reject-with tcp-reset
-A MY_REJECT -p udp -j REJECT --reject-with icmp-port-unreachable
-A MY_REJECT -p icmp -j DROP
-A MY_REJECT -j REJECT --reject-with icmp-proto-unreachable
COMMIT
# Completed on Fri Sep 26 20:59:40 2003
# Generated by iptables-save v1.2.7a on Fri Sep 26 20:59:40 2003
*nat

REROUTING ACCEPT [197:28718]

OSTROUTING ACCEPT [31:2968]

UTPUT ACCEPT [1:72]
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.1
-A PREROUTING -i eth1 -p tcp -m tcp --dport 110 -j DNAT --to-destination 192.168.0.2
-A PREROUTING -i eth1 -p tcp -m tcp --dport 143 -j DNAT --to-destination 192.168.0.2
-A PREROUTING -i eth1 -p tcp -m tcp --dport 25 -j DNAT --to-destination 192.168.0.2
-A PREROUTING -i eth1 -p tcp -m tcp --dport 4661 -j DNAT --to-destination 192.168.0.2
-A PREROUTING -i eth1 -p tcp -m tcp --dport 4662 -j DNAT --to-destination 192.168.0.2
-A PREROUTING -i eth1 -p tcp -m tcp --dport 5900 -j DNAT --to-destination 192.168.0.2
-A PREROUTING -i eth1 -p udp -m udp --dport 5900 -j DNAT --to-destination 192.168.0.2
-A POSTROUTING -o eth0 -p tcp -m tcp --dport 80 -j SNAT --to-source 192.168.0.254
-A POSTROUTING -o eth0 -p tcp -m tcp --dport 110 -j SNAT --to-source 192.168.0.254
-A POSTROUTING -o eth0 -p tcp -m tcp --dport 143 -j SNAT --to-source 192.168.0.254
-A POSTROUTING -o eth0 -p tcp -m tcp --dport 25 -j SNAT --to-source 192.168.0.254
-A POSTROUTING -o eth0 -p tcp -m tcp --dport 4661 -j SNAT --to-source 192.168.0.254
-A POSTROUTING -o eth0 -p tcp -m tcp --dport 4662 -j SNAT --to-source 192.168.0.254
-A POSTROUTING -o eth0 -p tcp -m tcp --dport 5900 -j SNAT --to-source 192.168.0.254
-A POSTROUTING -o eth0 -p udp -m udp --dport 5900 -j SNAT --to-source 192.168.0.254
-A POSTROUTING -o eth1 -j MASQUERADE
COMMIT

xDSL.at

REDHAT 9.0a GDSL - NAT !!Hilfe!!

REDHAT 9.0a GDSL - NAT !!Hilfe!!

Danke Leute

Wer ist online?