Update von IPTABLES

[Excalibur33]

Probier zuerst mal eine Verbindung vom W -rechner ins I-net, ohne FW, mal schaun obs geht ! Gib auf der Linux mal ein:
/sbin/iptables -A POSTROUTING -t nat -o ppp0 -j MASQUERADE
dann:
echo 1>/proc/sys/net/ipv4/ip_forward

dann probier vom W -rechner: Eigenschaften vom IE: Verbindung herstellen: Keine Verbindung anhaken, LAN Eigenschaften: alle Häkchen weg ,wenn welche da sind .
Dann irgendeine Seite anwählen, wenn sie kommt, dann geht mal die Verbindung

[Ulraich]

Hab scho probleme mit dem
"/sbin/iptables -A POSTROUTING -t nat -o ppp0 -j MASQUERADE". Bei mir is des unter /usr/sbin/iptables oder /usr/local/sbin/iptabels wenn i des dann eingib antwortet er bei beiden:
iptables v1.2.6a: Couldn't load target 'MASQERADE': usr/local/sbin/iptabels libipt_MASQERADE.so: cannot open shared object file: No such file or directory

[Excalibur33]

OK, Firewall hast abgestellt, dann mal eingeben:
iptables -F
die Verbindung soll aber schon noch am Laufen sein;
dann probier:
/usr/sbin/iptables -A POSTROUTING -t nat -o ppp0 -j MASQUERADE
danach:

echo 1>/proc/sys/net/ipv4/ip_forward
dan den Rest von vorher machen

[quaylar]

@excalibur :

Ich sags nochmal - diesmal deutlicher weil du anscheinend die höfliche Art nicht verstehst :

RED KEINEN SCHEISS !!

Er hat hier KEIN NAT PROBLEM !

Das heisst dieses ganze MASQ Zeug kannst du dir ganz normal IN DIE HAARE SCHMIERN !

Zitat:

/sbin/iptables -A POSTROUTING -t nat -o ppp0 -j MASQUERADE

Und das hier geht schon mal überhaupt nicht weil das Target MASQ heisst und nicht MASQUERADE.
Davon abgesehen dass diese Rule NULL bringt weil hier nicht NAT das Problem ist.......*grrrrr*

Sein Problem liegt noch im internen Netzwerk - die Firewall blockiert den Zugriff der lokalen Rechner auf den Linux Router...
Deswegen sagte ich : Vergiss die vorgefertigen Scripts - alles GEQUIRLTE SCHEISSE !

So - einigermaßen abreagiert - jetzt zu Ulraichs Problem :

Ist bei dir das Interface fürs LAN eth1 -> 192.168.0.1 ?

Wenn ja :

/usr/sbin/iptables -A INPUT -i eth1 -s 192.168.0.0/24 -j ACCEPT

so - damit gehts...

und wenn du noch wissen willst wo dein Problem lag :

diese Rule hier :


##Allow unlimited traffic from internal network using legit addresses to firewall-box
##If protection from the internal interface is needed, alter it

$IPTABLES -A INPUT -i $INTIF -s $INTLAN -j ACCEPT


wenn du die Variablen überprüfst wirst du bemerken dass :

## Get internal interface from command-line
## If no interface is specified then set $DEFAULT_INTIF as INTIF
if [ "x$3" != "x" ]; then
INTIF=$3
else
INTIF=$DEFAULT_INTIF
fi
echo Internal Interface: $INTIF

anscheinend tritt hier die else Abfrage in Kraft und dein INTIF wird zu DEFAULT_INTIF , siehe weiter oben (einer der shell freaks wird bestimmt wissen was die if Abfrage genau macht - ich weiss es nicht und bin zu faul nachzulesen ):

## Default internal interface (used, if INTIF isn't specified on command line)
DEFAULT_INTIF="eth0"

Damit steht für dein INTIF eth0 und nicht eth1 - so - und darum gehts net....

Lad die Firewall - und gib nachher das iptables kommando ein dass ich dir angegeben hab - dann probier nochmal zu pingen.
Wenn wir das ordentlich hinbringen wollen müssen wir das Firewall Script wieder umschreiben.

Deswegen sagte ich ja - und sags nochmal - es führt kein Weg an einem eigenen Script vorbei, wennst ein fertiges verwendest hast immer genau die scheiss Fehlersuche die wir hier jetzt veranstalten.....

--qu

[quaylar]

Nachtrag :

Mit dem "Nicht-Stimmen" von INTIF stimmt natürlich der ganze Schmarrn mit INTNET auch nicht.....wie ich sagte - Script umschreiben....iptables lernen....blahblah....vielleicht schreibt dirs jemand um.......oder du lernst es selbst....

--qu

[artemisia]

Zitat:

Original geschrieben von quaylar

if [ "x$3" != "x" ]; then
INTIF=$3
else
INTIF=$DEFAULT_INTIF
fi

hier wird ein alter trick der shell programmierung angewendet. man kann nicht direkt auf einen leerstring prüfen, daß verursacht eine fehlermeldung. es gibt zwar noch andere möglichkeiten, aber aus der born shell programmierung stammt dieses sinnige konstrukt:

gefragt wird, ob die zeichenkette "x$3" ungleich der zeichenkette "x" ist. das ist nur dann der fall, wenn die variable $3 nicht leer ist. also mit anderen worten, existiert ein dritter kommandozeilenparameter, erhält die variable intif diesen wert. im anderen fall erhält intif ein defaultwert.

greetz
artemisia

[Excalibur33]

@Quaylar: Dies steht im FW -script,das im gepostet wurde:

Zitat:

iptables -A POSTROUTING -t nat -o ppp0 -j MASQUERADE

Also red du kein Scheiss, ich wollt im nur helfen, ob die Connection OHNE Firewall geht;Das der Fehler im Script der FW liegt, was i selber a!
Was ich vergessen hab, war, das er SUSE benutzt!!!!!
Bei mir läufts mit der Eingabe,weil RH 7.1!!
Sein Problem ist = zu viele Köche verderben den Brei!
Der arme Kerl sieht sich NOCH weniger ausse als i!
Ausserdem bin ich grad dabei, ne Mini FW zu schreiben, damit wir wenigstens Minimalschutz haben.
Ne 100% FW gibts nur, wenns dein Rechner abdrehst,das will keiner einsehen!
mfg Excalibur33

[Excalibur33]

und ausserdem,wenn schon
## Default internal interface (used, if INTIF isn't specified on command line)
DEFAULT_INTIF="eth0"
="eth1"
dass braucht er nur in der FW fürs erste zu ändern, und abspeichern!
und da ist gleich am Anfang nach den Komments!°

[artemisia]

excalibur, bittschön sei so lieb, mach einen neuen thread auf und erklär uns mit deinen worten, was eine firewall ist.

hier scheint es, mal wieder einige mißverständnisse zu geben.

greetz
artemisia

@ulraich
wenn du magst, maile mir dein prob.
ich verwende selber SuSE und weiß so einigermassen damit umzugehen.

[quaylar]

Hmmm - ich versteh da ein paar Dinge nicht :

1)

Zitat:

case "$1" in
stop)
echo "Shutting down firewall..."
$IPTABLES -F
$IPTABLES -F -t mangle
$IPTABLES -F -t nat
$IPTABLES -X
$IPTABLES -X -t mangle
$IPTABLES -X -t nat

$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
echo "...done"
;;
status)
echo $"Table: filter"
iptables --list
echo $"Table: nat"
iptables -t nat --list
echo $"Table: mangle"
iptables -t mangle --list
;;
restart|reload)
$0 stop
$0 start
;;
start)
echo "Starting Firewall..."
echo ""

Ich weiss dass das eine Fallunterscheidung ist die das erste Argument des Firewall-Scripts betrifft.
Abhängig von diesem werden die in den case Abfragen aufgelisteten Kommandos ausgeführt.
Jedoch - müsste doch das gesamte Script in jeder case Abfrage beendet werden oder nicht ?
Wenn er jetzt eingibt "firewall2 start" - gibt er mit echo die Meldungen aus und fängt dann an das Script nach unten hin abzuarbeiten.
Wenn er eingibt "firewall2 stop" - passiert doch genau dasselbe - er flusht die rules - gibt die Meldung aus - und arbeitet das Script weiter ab, ich versteh nicht wie das funktioniert.
Denn wenn er "firewall2 stop" eingibt - muss das Script nach Abarbeiten des "stop case" beendet werden.

2)Worauf beziehen sich diese Abfragen hier :

Zitat:

### Internal Interface:

## Get internal interface from command-line
## If no interface is specified then set $DEFAULT_INTIF as INTIF
if [ "x$3" != "x" ]; then
INTIF=$3
else
INTIF=$DEFAULT_INTIF
fi
echo Internal Interface: $INTIF

Etwa auf alle folgenden Kommandos ?? - Wie ist festgelegt welches Kommando damit gemeint ist ?

Ausserdem : wer sagt dass ich später den Interfacenamen als 3. Argument verwende - kann doch auch als 2. oder 4. nehmen....

Zitat:

gefragt wird, ob die zeichenkette "x$3" ungleich der zeichenkette "x" ist. das ist nur dann der fall, wenn die variable $3 leer ist. also mit anderen worten, existiert ein dritter kommandozeilenparameter, erhält die variable intif diesen wert. im anderen fall erhält intif ein defaultwert.

Hmm - wofür steht dieses "x" - ich weiss dass ichs schon mal in der man page zu bash gelesen hab - aber ich finds jetzt beim besten Willen nimmer - und in meinem "Linux in a Nutshell" stehs auch net drinn *gr*
Hmmm - wenn ich annehme dass "x" für "String" steht - müsste es dann nicht heissen wie folgt:

gefragt wird, ob die zeichenkette "x$3" ungleich der zeichenkette "x" ist. das ist nur dann der fall, wenn die variable $3 NICHT leer ist. ???

Denn der "x" String ist ja leer wie du sagtest - also kann "x$3" nur dann ungleich "x" sein wenn in $3 was drinnsteht.
Oder hab ich da jetzt was falsch verstanden ?

--qu