Hallo Leute,

wie sag ich es meinem Kinde? Also folgendes Prob:

Habe vier PC's, die über einen LinuxServer 7.3 (eth0:192.168.100.5-localnet & eth1:192.168.1.5-zum Hardware-Router(192.168.1.1))ins Internet wollen.

Auf dem Linux-Server ist Squid als Proxy installiert (klappt übrigens Super mit allen PC's). Ich möchte aber E-Mails von den Workstations abrufen können ohne großartigen E-Mail Server, sonder über ein Gateway (eingestellt auf 192.168.100.5 eth0:localnet).

Auf den NetzPC ist soweit alles in Ordnung. Ich komme mit einem Ping bis auf den Linux-Server. Aber von dort nicht weiter an zweite Netzwerkkarte, an den HartdwareRouter oder ins Internet (z.B. linuxforen.de 62.180.126.137). Aber der Linux-Server schafft diese Hürde.
Wo mache ich den Fehler?

Gruß
conanxx

forwarding eingeschaltet ?

Jo!

Meine firewall2.rc.config sieht wie folgt aus:

FW_DEV_EXT="eth1"
FW_DEV_INT="eth0"
FW_DEV_DMZ=""
FW_ROUTE="yes"
FW_MASQUERADE="yes"
FW_MASQ_DEV="$FW_DEV_EXT"
FW_MASQ_NETS=""
FW_PROTECT_FROM_INTERNAL="no"
FW_AUTOPROTECT_SERVICES="no"
FW_SERVICES_EXT_TCP=""
FW_SERVICES_EXT_UDP=""
FW_SERVICES_EXT_IP=""
FW_SERVICES_DMZ_TCP=""
FW_SERVICES_DMZ_UDP=""
FW_SERVICES_DMZ_IP=""
FW_SERVICES_INT_TCP=""
FW_SERVICES_INT_UDP=""
FW_SERVICES_INT_IP=""
FW_TRUSTED_NETS=""
FW_ALLOW_INCOMING_HIGHPORTS_TCP="yes"
FW_ALLOW_INCOMING_HIGHPORTS_UDP="yes"
FW_SERVICE_AUTODETECT="yes"
FW_SERVICE_DNS="no"
FW_SERVICE_DHCLIENT="no"
FW_SERVICE_DHCPD="no"
FW_SERVICE_SQUID="yes"
FW_SERVICE_SAMBA="yes"
FW_FORWARD="yes"
FW_FORWARD_MASQ=""
FW_REDIRECT=""
FW_LOG_DROP_CRIT="yes"
FW_LOG_DROP_ALL="no"
FW_LOG_ACCEPT_CRIT="yes"
FW_LOG_ACCEPT_ALL="no"
FW_LOG="--log-level warning --log-tcp-options --log-ip-option --log-prefix SuSE-FW"
FW_KERNEL_SECURITY="yes"
FW_STOP_KEEP_ROUTING_STATE="no"
FW_ALLOW_PING_FW="yes"
FW_ALLOW_PING_DMZ="no"
FW_ALLOW_PING_EXT="no"
FW_ALLOW_FW_TRACEROUTE="yes"
FW_ALLOW_FW_SOURCEQUENCH="yes"
FW_ALLOW_FW_BROADCAST="no"
FW_IGNORE_FW_BROADCAST="yes"
FW_ALLOW_CLASS_ROUTING="no"

Seltsam?:confused:

Jetzt lade ich die Firewall2 nicht und ich kann von den Workstation bis zum Hardware-Router auf 192.168.1.1 pingen.

Aber weiter kriege ich keine Antwort (als Beispiel t-online 212.185.47.88).

Was ist blos falsch??:(

Kann mir denn keiner Helfen????

Gruß
Conanxx

OK!

Habe
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
an der Konsole eingegeben und jetzt komm ich mit einem Ping auch auf T-Online.

Im Browser erscheint aber nichts.

Trotzdem habe ich das Gefühl das ich mir hier nur selber helfe?

SCHAAAAAAAADE!

In der Hoffnung das ich vielleicht einem mit meinen Fragen irgendjemand weiterhelfen kann, kommt hier vielleicht mein letztes Posting.

Also bei den Workstation muß als DNS noch der HardwareRouter eingetragen werden.

Bei mir war das 192.168.1.1.

Dann funzt es.

Jetzt müssen wir nur noch den komischen Masquerade Befehl automatisieren und das mit der Firewall2 in den Griff kriegen.

Aber das wäre doch gelacht:ugly:

DANKE!

lege dein Fwscript in den Ordner : /etc/init.d/ !
verlinke es mit dem runlevel3 ! (etc/init.d/rc3.d)
Achte dabei darauf das der Name des Links mit S99.... Beginnt!
die Zahl 99 steht hier für die reinfolge des Ladens beim Bootvorgang.

Ps. : Conanaxx könntest ja auch mal auf die E-mail's antworten
:D :D :D :D

Make it PUBLIC,

Mein OUTING!

Ok, das mit dem kopieren kriege ich auf die Reihe. (nullproblemo)

In diesem Verzeichnis stehen fast nur Dateien, die mit *anfangen, was ja soviel heist, wie startbar machen. (kriege ich mit einem bischen suchen auch noch hin)

Aber wie kriege ich jetzt den Link @S99fwrules hin??????? Da habe ich ja gar keine Ahnung.

Ich weiß, ich nerve aber wie geht es?

Danke
conanxx

nehme den MC (sowas NC im DOS)
geh auf Datei, Symlink fertig!


MFG

Sademar:D :D :D

Hallo Leute die dieses Thema durchlesen,

vielleicht habe ich ein interessantes Thema angeworfen, aber jetzt muß ich sagen, daß ich erstmal aufgebe.

Mit den ganzen Kernel und Iptabels und Forwarding habe komme ich im Moment nicht klar.

Bestimmt werde ich aber eine Lösung Posten wenn es einmal läuft.

Zuerst war ich ja von der Einfachheit von Linux begeistert (langer Windoof User), nun bin ich an dem Punkt angelangt wo ich aufgebe.

Mein allergrößter Dank geht an SAndemar, der viel Zeit und Mühe geopfert hat einem Newbie zu helfen.


DANKE

conanxx

Kann es sein das du bei deinen Workstations als DNS SERVER (NAMESERVER) die IP Adresse des Routers einträgst? Trage doch dort mal die IP deines Internetserviceprovider einträgst!

So funktionieren die Workstations, zumindest die Windoof Dinger einwandfrei über den Gateway.

Wenn ich als DNS-Server den Linux-Server angebe funzt es nicht mehr!

Frag mich bitte nicht ob das richtig ist, denn ich glaube wie viele andere auch, daß des eigentlich nicht funktionieren kann.

Aber erstens kommt es anders, zweitens als man denkt. Da macht mir alles einen :p .

Du möchtest wohl noch nicht aufgeben?!?

Gruß
Conanxx

Du kannst mit deiner Workstation ins internet pingen, aber keine Webseiten im Browser aufrufen. Schon mal versucht im Browser den Proxy einzustellen, von dem du geschreiben hast?
Aber generell funktioniert das mit dem routing und forwarding und masq und so mit iptables und kernel 2.4 super!

Das Problem was ich habe ist nicht das outgoing.
Die Workstations laufen genauso super im Gateway wie im Proxy.

Prob. ist nur die verdammte Firewall. Über Gateway sollen lediglich Port 25,110 und die Verbindung zu SuSeOnline Update funktionieren.

Das heißt gebe ich am Linux Server iptables -t nat ....usw. ein kommen die Workstations über das Gateway ins Netz. Aber mein LinuxServer wird dadurch so offen wie ein Scheunentor. Dies gilt es mit einer Firewall-Konfiguration zu unterbinden.
Danke
Conanxx

Nach nunmehr über 48 Stunden intensiver Arbeit, lesen und Forschungen ist es mir geglückt, eine Firwall-Regel aufzustellen, mit der ich über Linux 7.3, Kernel 2.4.16 und einem Hardware-Router Telesyn AR220E ins Internet komme.

Es war nicht einfach, aber es funzt.

Wenn einer mehr wissen möchte kann mir Mailen.

Gruß ConanXX

Vielen Dank nochmals an SAdemar der mir wertvolle Tips gegeben hat, sowie an OReilly und Jörg Frühbrodt, die mit ihren Artikeln weiteres dazu geleistet haben.
:D :D :D :D