masquerading/firewall

Vader · 09.03.2001, 11:53

also:
für meinen internet-anschluss (adsl) habe ich 8 ip adressen. einige davon sind schon für diverse server draufgegegangen, jetzt möchte ich meine privaten rechner hinter einem masq-gateway verstecken. hier meine konfiguration:

1. gw
red hat 7.0, 2.4.2
eth0 -> rtl8129, 213.229.15.218, 255.255.255.248, gw:213.229.15.217 (adsl-router)
eth1 -> rtl8139, 10.0.0.1, 255.0.0.0, gw:213.229.15.218

2. client:
win2k, rtl8139, 10.0.1.1, gw:10.0.0.1

dann hab ich noch einen adsl-router (213.229.25.217), der für die ganzen 213.229.15.218-222 adressen als gateway dient und mit dem adsl-modem verbunden ist.

die ganzen 10.x.x.x sind über einen switch verbunden, die 213.x.x.x stecken in einem hub mit dem router, eine direkte verbindung 10.x.x.x-213.229.15.217-223 besteht also nur über den gw

jetzt mein problem:
von meinem gw aus kann ich intern/extern (auch internet) alles pingen was gibt...
von meinem win2k rechner aus erreiche ich den gw (10.0.0.1) UND!! 213.229.15.218, aber sonst nichts ausserhalb.

auch wenn ich /proc/sys/net/ipv4/ip_forward 0 steht, werden die pakete zur äusseren karte weitergeleitet, also entgegen allen regeln der vernunft...

in /proc/net/snmp steht allerdings in der 2. zeile unter forwarding 2 statt 0; das kann ich aber nicht ändern, weil es sofort wieder auf 2 gesetzt wird (ro).

was tun?

thx für tips!

schöne grüsse

vader

Angel · 12.03.2001, 18:07

Tip: Schau dir mal /etc/route.conf bzw. "man route" an, wenn du noch kein Routing eingerichtet hast.

Wenn du Masquerading bzw. Packet-Filtering eingerichtet hast, dann übergehen der das ip_forward ! - Zumindest
bei einigen Konfigurationen / Distributionen / etc.

Vader · 14.03.2001, 00:59

noch was komisches:
wenn ich gleich nach dem booten probiere, meine 10er adresse zu pingen, dann dauert es ewig, bis ich eine antwort bekomme - obwohl die karte in dem rechner steckt. das sollte doch auch schneller gehen....

mgaugusch · 15.03.2001, 12:33

masquerading unter 2.4.x ist ganz anders als unter 2.2.x
(außer du verwendest das ipchains-compatibility module)
bei bedarf kann ich dir (privat) mein firewall-script schicken, das macht masquerading, portforwarding (fuer napster & icq) und noch ein paar kleinigkeiten.
Ich weiß nicht, ob redhat eine firewall dabei hat, die das checkt (bin suse-user

enjoy2 · 15.03.2001, 21:21

verwende mal 192.168.x.x für deine IP Adressen, vielleicht ist es dann schneller

enjoy

Vader · 15.03.2001, 22:46

@mgaugusch:
das mit 2.2.x/2.4.x weiss ich - ich will ja den 2.4.2 verwenden - mit ipchains oder iptables ist egal; es kommt nur gar nicht soweit, dass die regeln greifen würden...

@enjoy2:
das hat keine auswirkung. ich wüsste auch nicht, warum. und ausserdem ist es auf 2 rechnern so... es kann also nicht an der karte liegen.

mgaugusch · 17.03.2001, 22:16

du mußt deine ip-adresse in die /etc/hosts eintragen (oder für einen DNS eintrag sorgen, dürfte aber schwieriger werden ;-)

Vader · 17.03.2001, 22:19

hab ich ja alles - auf dem rechner läuft bind und die adresse sind auch eingetragen...

ich glaube eher, dass da was mit den routes nicht stimmt...

09.03.2001, 11:53	#1
Vader Senior Member Registriert seit: 30.06.2000 Beiträge: 146	also: für meinen internet-anschluss (adsl) habe ich 8 ip adressen. einige davon sind schon für diverse server draufgegegangen, jetzt möchte ich meine privaten rechner hinter einem masq-gateway verstecken. hier meine konfiguration: 1. gw red hat 7.0, 2.4.2 eth0 -> rtl8129, 213.229.15.218, 255.255.255.248, gw:213.229.15.217 (adsl-router) eth1 -> rtl8139, 10.0.0.1, 255.0.0.0, gw:213.229.15.218 2. client: win2k, rtl8139, 10.0.1.1, gw:10.0.0.1 dann hab ich noch einen adsl-router (213.229.25.217), der für die ganzen 213.229.15.218-222 adressen als gateway dient und mit dem adsl-modem verbunden ist. die ganzen 10.x.x.x sind über einen switch verbunden, die 213.x.x.x stecken in einem hub mit dem router, eine direkte verbindung 10.x.x.x-213.229.15.217-223 besteht also nur über den gw jetzt mein problem: von meinem gw aus kann ich intern/extern (auch internet) alles pingen was gibt... von meinem win2k rechner aus erreiche ich den gw (10.0.0.1) UND!! 213.229.15.218, aber sonst nichts ausserhalb. auch wenn ich /proc/sys/net/ipv4/ip_forward 0 steht, werden die pakete zur äusseren karte weitergeleitet, also entgegen allen regeln der vernunft... in /proc/net/snmp steht allerdings in der 2. zeile unter forwarding 2 statt 0; das kann ich aber nicht ändern, weil es sofort wieder auf 2 gesetzt wird (ro). was tun? thx für tips! schöne grüsse vader ____________________________________ s\'ländle isch andersch!

14.03.2001, 00:59	#3
Vader Senior Member Registriert seit: 30.06.2000 Beiträge: 146	noch was komisches: wenn ich gleich nach dem booten probiere, meine 10er adresse zu pingen, dann dauert es ewig, bis ich eine antwort bekomme - obwohl die karte in dem rechner steckt. das sollte doch auch schneller gehen.... ____________________________________ s\'ländle isch andersch!

15.03.2001, 12:33	#4
mgaugusch Newbie Registriert seit: 14.03.2001 Beiträge: 11	masquerading/2.4 masquerading unter 2.4.x ist ganz anders als unter 2.2.x (außer du verwendest das ipchains-compatibility module) bei bedarf kann ich dir (privat) mein firewall-script schicken, das macht masquerading, portforwarding (fuer napster & icq) und noch ein paar kleinigkeiten. Ich weiß nicht, ob redhat eine firewall dabei hat, die das checkt (bin suse-user

15.03.2001, 21:21	#5
enjoy2 ------------- Registriert seit: 22.03.2000 Ort: Tullnerfeld Alter: 52 Beiträge: 14.550 Mein Computer	verwende mal 192.168.x.x für deine IP Adressen, vielleicht ist es dann schneller enjoy ____________________________________ EnJoy * Kl. Anleitung, welche Infos bei Problemen benötigt werden * was ich nicht weiß, weiß Google bzw. vorm Posten Listen to Bart * BITTE, füttert keine Trolle, siehe auch Definition bzw. Merkbefreiung - Verordnung * Wie man Fragen richtig stellt

15.03.2001, 22:46	#6
Vader Senior Member Registriert seit: 30.06.2000 Beiträge: 146	@mgaugusch: das mit 2.2.x/2.4.x weiss ich - ich will ja den 2.4.2 verwenden - mit ipchains oder iptables ist egal; es kommt nur gar nicht soweit, dass die regeln greifen würden... @enjoy2: das hat keine auswirkung. ich wüsste auch nicht, warum. und ausserdem ist es auf 2 rechnern so... es kann also nicht an der karte liegen. ____________________________________ s\'ländle isch andersch!

12.03.2001, 18:07	#2
Angel Master Registriert seit: 09.11.1999 Beiträge: 696	Tip: Schau dir mal /etc/route.conf bzw. "man route" an, wenn du noch kein Routing eingerichtet hast. Wenn du Masquerading bzw. Packet-Filtering eingerichtet hast, dann übergehen der das ip_forward ! - Zumindest bei einigen Konfigurationen / Distributionen / etc.

17.03.2001, 22:16	#7
mgaugusch Newbie Registriert seit: 14.03.2001 Beiträge: 11	langsamer ping du mußt deine ip-adresse in die /etc/hosts eintragen (oder für einen DNS eintrag sorgen, dürfte aber schwieriger werden ;-)

17.03.2001, 22:19	#8
Vader Senior Member Registriert seit: 30.06.2000 Beiträge: 146	hab ich ja alles - auf dem rechner läuft bind und die adresse sind auch eingetragen... ich glaube eher, dass da was mit den routes nicht stimmt... ____________________________________ s\'ländle isch andersch!

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)