Hi

SuSE Linux 7.2, minimal installiert, DSL, 2 Netzwerkkarten.
Eth0 10Mbit 192.168.1.1 <--- DSL
Eth1 100Mbit 192.168.33.33 <--- Netzwerk
Ich installiere gerade wieder erneut neu und habe schon mit iptabels probiert und Firewall2 von SuSE. Nach der Installation ging bis jetzt immer die DSL Einwahl und der Ping vom Server nach draussen und im Netzwerk geht auch alles. Der Server soll HTTP und FTP nach draussen und drinnen bereit stellen und jetzt vorerst ganz wichtig er soll alle im Netz (192.168.33.X) über Gateway rauslassen ins Internet. Helft mir mal! Wie machen? Firewall? Die Firewall2 wegen Kernel 2.4.X wollte nicht. Iptables machte auch nur Probleme.
Wie kriege ich das jetzt am besten hin?

Thanx 4 Help

ElDiablo666 :(

Hallo,

rudimentäres Routing ohne Firewall würde so ausehen:

-echo 1 > /proc/sys/net/ipv4/ipforward # das Routing einschalten
-iptables -t nat -A POSTROUTING -o ippp0 -j MASQUERADE # leitet die jeweiligen Packete an die entsprechende Machine im Netz weiter

-default route auf dem Router auf eth0 (DSL) setzen
-default route auf den Clients auf eth1 des Router setzen
-wenn kein DNS Server im Netzwerk vorhanden, dann auf den Clients z.b. den DNS des ISP's eintragen.

Das war's eigentlich schon. Für iptables kann ich Das Firewall Buch (http://www.susepress.de/de/katalog/3_934678_40_8/index.html) von SuSE Press empfehlen.

Grüsse/Regards
Carsten :cool:

hey hey!
Die Netzwerkkarte die mit dem DSL-Modem verbunden ist soll keine IP-Adresse haben!
Nur das ppp0-Gerät bekommt die zugewiesene IP vom Provider.

<BLOCKQUOTE><font size="1" face="Arial,Helvetica,Geneva">Zitat:</font><HR>Original erstellt von Jorge:
<STRONG>Hallo,

rudimentäres Routing ohne Firewall würde so ausehen:</STRONG>

Ohne Firewall würde mir vorerst reichen!

<STRONG>-echo 1 > /proc/sys/net/ipv4/ipforward # das Routing einschalten</STRONG>
Ok getan aber das Ding heisst ip_forwarding und es kam keine Rückmeldung
<STRONG>-iptables -t nat -A POSTROUTING -o ippp0 -j MASQUERADE # leitet die jeweiligen Packete an die entsprechende Machine im Netz weiter</STRONG>
Auch getan ergab aber keine Rückmeldung

<STRONG>-default route auf dem Router auf eth0 (DSL) setzen</STRONG>
Also die route.conf editieren und
default eth0 da rein schreiben? Wenn ja getan
<STRONG>-default route auf den Clients auf eth1 des Router setzen</STRONG>
Also in Windows den Gateway auf 192.168.33.1 stellen? Wenn ja getan
<STRONG>-wenn kein DNS Server im Netzwerk vorhanden, dann auf den Clients z.b. den DNS des ISP's eintragen.</STRONG>
Also bei DNS 217.5.115.7 und 194.25.2.129 eintragen? Wenn ja getan

<STRONG>Das war's eigentlich schon. Für iptables kann ich Das Firewall Buch (http://www.susepress.de/de/katalog/3_934678_40_8/index.html) von SuSE Press empfehlen.</STRONG>
Da kümmer ich mich drum sobald das routen überhaupt funktioniert! Aber danke für den Tipp...

<STRONG>Grüsse/Regards
Carsten :cool:</STRONG>[/quote]

Wenn das alles so gestimmt hat, was ich getan habe geht es leider nicht! Ich wähle mich am Linux Rechner per Ping www.adsl-support.de (http://www.adsl-support.de) z.B. ein und sehe, daß der Ping ankommt. Dann versuche ich am Windows Client einen Ping und der kommt nicht an. Ich habe allerdings auch nicht die DSL Sachen am Client deinstalliert aber daran wird es sicher (?) nicht liegen. Warum geht das bei mir nicht? Was mache ich falsch? :confused:

<BLOCKQUOTE><font size="1" face="Arial,Helvetica,Geneva">Zitat:</font><HR>Original erstellt von geronet:
<STRONG>hey hey!
Die Netzwerkkarte die mit dem DSL-Modem verbunden ist soll keine IP-Adresse haben!
Nur das ppp0-Gerät bekommt die zugewiesene IP vom Provider.</STRONG>[/quote]

Danke für den Tipp aber das geht leider auch nicht. Das selbe Spiel von oben nur vorher die Netzwerkkarte die zum DSL geht auf 0.0.0.0 gesetzt und am Windows Client kommt trotzdem kein Ping durch. :(

Hi,

also der DSL-Netzwerkarte solltest du eine IP geben, denn sonst weiss dein Linux mit der Karte nicht viel anzufangen. Die Karte ist ja eh nur die Hardware, das eigentliche Device ist ja eh ppp0, was dann die IP vom ISP bekommt.

Schau dir mal die Routen an:
route -n

Da müste dann irgend wo sowas auftauchen:
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref
217.5.98.52 0.0.0.0 255.255.255.255 UH 0 0
192.168.100.0 0.0.0.0 255.255.255.0 U 0 0
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0
0.0.0.0 0.0.0.0 0.0.0.0 U 0 0
0.0.0.0 217.5.98.52 0.0.0.0 UG 0 0
0.0.0.0 192.168.100.1 0.0.0.0 UG 1 0

Und diese Einträge mit den ppp0 müssen da stehen wenn du dich eingewählt hast.

Du solltest du Default route auf ppp0 setzen, ist besser, als auf eth0:
route add default dev ppp0

Hast du denn die DSL-PPPoE-Treiber der Telekom von der Netzwerkarte am Client deaktiviert, oder besser deinstalliert?

CU
JDuck001

Hallo zusammen,

<BLOCKQUOTE><font size="1" face="Arial,Helvetica,Geneva">Zitat:</font><HR>
iptables -t nat -A POSTROUTING -o ippp0 -j MASQUERADE
[/quote]

Ihr habt natürlich Recht, ippp0 ist ISDN, für DSL sollte das ppp0 sein. *schäm*

Grüsse/Regards
Carsten :cool:

<BLOCKQUOTE><font size="1" face="Arial,Helvetica,Geneva">Zitat:</font><HR>Original erstellt von Jorge:
<STRONG>Ihr habt natürlich Recht, ippp0 ist ISDN, für DSL sollte das ppp0 sein. *schäm*</STRONG>
[/quote]

So geändert!

<BLOCKQUOTE><font size="1" face="Arial,Helvetica,Geneva">Zitat:</font><HR>Original erstellt von jduck01:
<STRONG>also der DSL-Netzwerkarte solltest du eine IP geben, denn sonst weiss dein Linux mit der Karte nicht viel anzufangen.</STRONG>

Karte hat wieder IP!

<STRONG>Du solltest du Default route auf ppp0 setzen, ist besser, als auf eth0:
route add default dev ppp0</STRONG>

Auch getan!

<STRONG>Hast du denn die DSL-PPPoE-Treiber der Telekom von der Netzwerkarte am Client deaktiviert, oder besser deinstalliert?</STRONG>
[/quote]

Deinstalliert!

:) :) :) So das funktioniert!!! Vielen Dank an alle!!!
Leider geht so www.gmx.de (http://www.gmx.de) nicht und dieses Forum auch nicht! :( Irgendwo habe ich gelesen, daß man das mit dem Proxy vom Provider umgehen kann und das funktioniert auch aber ich würde das gerne ohne Proxy machen. Wie geht das denn? :confused:

Leider geht auch kein File Send mehr bei ICQ also von draussen zu mir. Wie änder ich das? :confused:

Ich habe hier (http://www.linuxguruz.org/iptables/) einige Scripte gefunden aber entweder produzieren die Fehler oder ich steige da nicht durch. Dachte, daß ich mit denen die Firewall bekomme und das Routing besser hin also ohne Proxy und mit File Send bei ICQ... :eek:

Also brauche ich auch weiterhin eure Hilfe... :rolleyes:

Hallo,

Glückwunsch!

Du hast eine Firewall laufen, richtig? Brauchst Du die wirklich?

Du brauchst eine Firewall nur wenn Du Dienste im Internet anbieten willst. Genauso kann mann sämtliche Sw die auf dem Router läuft so konfigurieren, dass von aussen nichts mehr rein kommt.

Ansonsten kommst Du nicht umher, Dich mit der Konfiguration von Firewalls zu beschäftigen. Da gibt es auch HowTos zu.

Grüsse/Regards
Carsten :cool:

<BLOCKQUOTE><font size="1" face="Arial,Helvetica,Geneva">Zitat:</font><HR>Original erstellt von Jorge:
<STRONG>Du hast eine Firewall laufen, richtig?</STRONG>

Nö noch nicht! Dachte nur damit geht das surfen ohne Proxy vom Provider!

<STRONG>Brauchst Du die wirklich?</STRONG>
Gute Frage aber ich denke ja...

<STRONG>Du brauchst eine Firewall nur wenn Du Dienste im Internet anbieten willst.</STRONG>

Da läuft eine Homepage mit Fourm drauf und der Rechner soll auch wieder FTP anbieten also so wie vorher.
[/quote]

[ 09. Oktober 2001: Beitrag editiert von: ElDiablo666 ]

Hallo,

na dann wirst Du wohl um die Konfiguration einer Fw nicht umher kommen. Das Buch von SusePress über Firewalls kann ich empfehlen.

BTW: Ich habe heute einen Artikel für meine HP geschrieben, indem es um Routerkonfiguration geht. http://lenz-online.org/linux/net/router.html
Ist momentan die Erstfassung, also nicht wundern wenn da noch Rechtschreibverbuxelte Sachen zu finden sind ;)

Kritik willkommen!

Grüsse/Regards
Carsten :cool:

[ 10. Oktober 2001: Beitrag editiert von: Jorge ]

hallo!

das problem mit der gmx adresse, dem forum und anderen internetseiten, bzw. programmen wie starmoney, hatte ich auch mit meinem router! das hat mit mtu >1490 (bei windows)zu tun. jedenfalls klappt bei mir alles wunderbar, seitdem ich das modul mssclampfw (von suse) installiert hab. danach konnte der router alle anfragen korrekt fragmentieren! wie das mit dem modul geht, kannste ja auf der suse hp nachlesen. ich weiß aber leider nicht ob das auch mit nem 2.4er kernel geht, ich hab immernoch nen 2.2er! ich hoffe es mal für dich ;-)

nils

Hallo,

mit einem 2.4.x Kernel brauchst Du das Modul nicht mehr, geht so.

Grüsse/regards
Carsten :cool:

@Jorge
Deine Seite ist sehr gut gelungen! Leider habe ich das ja schon soweit laufen und es geht nicht alles, was bei einem Router gehen sollte:
Ich komme ohne den T-Online Proxy nicht auf Seiten wie GMX und Linuxforen!
Ich komme leider auf gar keinen FTP mehr!
Ich kann keine Spiele spielen übers Internet also das was damals ipforwarding war geht noch nicht!


@milchknilch
Ich habe in /etc/ppp/options bei MTU und MRU 1490 eingetragen aber anscheinend ignoriert er das völlig!

<BLOCKQUOTE><font size="1" face="Arial,Helvetica,Geneva">Zitat:</font><HR>
Deine Seite ist sehr gut gelungen! Leider habe ich das ja schon soweit laufen und es geht nicht alles, was bei einem Router gehen sollte:
[/quote]

Danke schön :)

<BLOCKQUOTE><font size="1" face="Arial,Helvetica,Geneva">Zitat:</font><HR>
Ich komme ohne den T-Online Proxy nicht auf Seiten wie GMX und Linuxforen!
Ich komme leider auf gar keinen FTP mehr!
Ich kann keine Spiele spielen übers Internet also das was damals ipforwarding war geht noch nicht!
[/quote]

Zu Deinem Problem mit dem nichterreichen von Seiten schau mal hier: http://www.hgfelger.de/mss/mss.html
Zu Deinem Problem mit FTP sage ich nur pasiven FTP verwenden, oder das iptables modul für ftp laden. Wie das geht bzw. heisst überlasse ich Dir als Hausaufgabe...
Zum Spielen über den Router: Musst evtl. den Port freischalten, welchen das Spiel verwenden möchte.

<BLOCKQUOTE><font size="1" face="Arial,Helvetica,Geneva">Zitat:</font><HR>
Ich habe in /etc/ppp/options bei MTU und MRU 1490 eingetragen aber anscheinend ignoriert er das völlig!
[/quote]

Das dürfte mit dem "mss" Link auch erledigt sein.

Grüsse/Regards
Carsten :cool:

Oha:

Get iptables of a version > 1.1.1. At the moment I write this, you need to get the CVS version - but it works for me!
In the iptables source tree (or netfilter/userspace/), do
`make patch-o-matic': then apply the TCPMSS patch,
recompile the kernel,
build the iptables binary, install and
restart..
Add to your working iptables-masquerading-setup the following command (one line!):
iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu


Also neueste Version von iptables holen als Quellcode. Dann in netfilter/userspace/ irgendwas kompilieren (make). Aber dann then apply the TCPMSS patch!!! Was ist das und woher nehmen? Dann Kernel neu kompilieren wie auch immer das geht. Dann iptables kompilieren, installieren und neu starten.
Danach soll die Zeile iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu funktionieren?

Naja wenn ich das hinbekomme und damit das MTU Problem beseitigt ist und ich auf Seiten komme ohne den Proxy wunderbar.

Weiterhin klappt das mit dem passiven Mode bei FTPs auch wunderbar! Danke! Das Teil für iptables werde ich mal suchen, weil man ja nicht immer alle FTP-Sachen auf passiv stellen kann.

Und das spielen über den Router also die Ports 'freischalten' (nicht 'durchleiten'?) geht auch mit iptables?

Hallo,

<BLOCKQUOTE><font size="1" face="Arial,Helvetica,Geneva">Zitat:</font><HR>
Also neueste Version von iptables holen als Quellcode. Dann in netfilter/userspace/ irgendwas kompilieren (make). Aber dann then apply the TCPMSS patch!!! Was ist das und woher nehmen? Dann Kernel neu kompilieren wie auch immer das geht. Dann iptables kompilieren, installieren und neu starten.
Danach soll die Zeile iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu funktionieren?
[/quote]

Ich denke nicht dass Du eine "neue" Version von iptables installieren bzw. compiieren musst. Die iptables Version die bei SUSE 7.2 dabei ist, sollte aktuell genug sein.
Um eine Kernel Kompilation wirst Du aber wohl nicht herum kommen, das das Modul TCPMSS im Kernel aktiviert sein muss.

ths-samba22:/usr/src/linux # grep TCPMSS .config
CONFIG_IP_NF_MATCH_TCPMSS=m
CONFIG_IP_NF_TARGET_TCPMSS=m
ths-samba22:/usr/src/linux #

Ob Du beide brauchst kann ich Dir nicht sagen, aber wenn Du sie als Modul übersetzt brauchen sie auch nicht so viel Platz im Kernel. Obiger Auszug aus der Kernelkonfiguration ist von einem 2.4.10er.

HTH

Grüsse/Regards
Carsten :cool:

Klingt aber trotzdem nicht einfach...

Naja ich werde das mal versuchen... :)