PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : NAT unter linux



amano[fR]
26.12.01, 10:46
mOIn leutz,

hab da nen verständnis problem...
----
SuSE 7.3
SuSEfirewall2
----

also ich hab hier meinen alten 133er rumstehen und da nen mini-server draus gemacht, beim einrichten der firewall hab ich da was von masq. gelesen und in dem zusammenhang auch was von NAT, irgendwie kann ich zum thema NAT aber nicht viel finden...

Was ich machen will ist eigendlich recht einfach der linux server soll da er eh meist DSL connect hat als dsl-router dienen, ich möchte also bei meinen win-clients einfach den linux server als gateway angeben und dann über den via NAT ins netz...

Ich hatte eigendlich gedacht das die SuSEfirewall2 das kann, hab also alles nach den beispielen eingerichtet, klappert aber nicht, wie gesagt ich würd mich auch schon freuen wenn mir wer sagen kann wo ich nen vernünftiges faq zum thema nat und dsl finden kann... heisst das unter unix eigendlich NAT???

danke schonmal

maxxle
26.12.01, 11:46
Es gibt unter Linux zwei Arten, NAT zu machen: über iptables (neu) oder über ipchains (alt)
Leider hab ich in meiner Quelle nur die etwas ältere Möglichkeit über ipchains gefunden:

echo 1 > /proc/sys/net/ipv4/ip_forward #Forwarding im Kernel aktivieren
/sbin/ipchains -P forward DENY #Zuerst Forwarding komplett verbieten
/sbin/ipchains -A forward -s 192.168.0.0./24 -i ppp0 -j MASQ # Forwarding für den Adressraum 192.168.0.0/255.255.255.0 erlauben (es wird auf ppp0 weitergeleitet) und zusätzlich Masquerading (NAT) betreiben.

Das sollte dir fürs erste weiterhelfen. Du solltest aber bedenken, das das System total offen ist.
=> Du solltest zusätzlich eine Firewall einrichten

Jaydee
26.12.01, 12:53
Hallo,

wenn Du die SUSEFirewall2 einsetzt ist NAT relativ einfach.

Du musst lediglich jenes Script Deinen Bedürfnissen anpassen.

Poste doch mal was Du schon hast und wo es noch hapert. Hier kann Dir sicher geholfen werden.

Gruß

amano[fR]
27.12.01, 08:06
Original geschrieben von Jaydee
Hallo,

wenn Du die SUSEFirewall2 einsetzt ist NAT relativ einfach.

Du musst lediglich jenes Script Deinen Bedürfnissen anpassen.

Poste doch mal was Du schon hast und wo es noch hapert. Hier kann Dir sicher geholfen werden.


k, hab heut den ganzen tag dran rumgefummelt aber irgendwie krieg ich es zum verrecken nicht zum laufen :confused:

Hab T-DSL, mein modem hängt am uplink vom switch, die clients auch (naja nicht am uplink, aber am switch)... hab also nur eine netzkarte drinnen, eth0. Interner adressbereich is von 192.168.100.0 - 100(Ich weiss macht viel traf beim routen is mir abba egal ;)...)

Als erstes wollte ich mal die total billige lösung ausprobieren, da ich nen 2.4er kernel hab gehts net mit ipchains muss halt die tabels nehmen... also hab ich mal meine firewall, testweise, ganz ausgemacht und nur nen script gestartet was folgendes macht.
iptables -A POSTROUTING -t nat -j MASQUERADE -o ppp0
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A INPUT -j DROP -m state --state NEW,INVALID -i ppp0
iptables -A FORWARD -j DROP -m state --state NEW,INVALID -i ppp0
Habs auch mal ohne die letzten beiden zeilen getestet geht auch nicht.

Gut dann halt mit SuSEfirewall2, hier mal meine aktuelle config auszugsweise...
firewall2.rc.config
FW_DEV_EXT="ppp0"
FW_DEV_INT="eth0"
FW_DEV_DMZ=""
FW_ROUTE="yes"
FW_MASQUERADE="yes"
FW_MASQ_DEV="ppp0"
FW_MASQ_NETS=""


den rest hab ich eigendlich gelassen wie er ist...
FW_MASQ_NETS="" hab ich schon mit allem möglichen gefüttert...
Egal was ich mache mein win client macht nix, obwohl der linux rechner als gateway eingetragen ist ich kann auch nix ip-mäßig pingen es liegt also auch nicht an der reinen namensauflösung...

Gibts ne art log dafür oder so.. hab in /var/log/firewall messages und localmessages nachgeckut da steht aber nichts davon das irgendwelche packete denyed bzw. gemasqt wurden.

Ich bin echt am ende.. hiiiillllfeeeee

Jaydee
27.12.01, 16:28
Hallo,

soweit stimmt das schon...

In "MASQ_NETS" schreibst Du "192.168.100.0/24"

also eine Subnet von 255.255.255.0 wenn das bei Dir so ist. Normal bei Class C Netz.

Ansonsten musst Du noch IP-FORWARDING aktivieren.

Dazu gibt es unter /etc/rc.config

einen Eintrag ...

"IP_FORWARD=yes"

Dann sollte es auch mit dem forwarden klappen.

Gruß

amano[fR]
27.12.01, 22:45
*froi*

habs hinbekommen.. lag wohl doch irgendwie am DNS, naja hab jetzt bind drauf geschmissen, und mit nen paar forwards klappert es wunderbar...

danke an alle...

bye
amano

Newbie2001
30.01.02, 20:47
Kannst du mir villeicht mal schreiben wie du das hingekriegt hast, ich hatte das gleichge Problem wie du, aber ich habs net hingekriegt