PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : iptables nat


thomas1446
21.08.03, 17:52
Hallo!

Ich nutze das Masquerading über iptables an eine SuSE 8.0 firewall

Kurzform Script:

modprobe iptable_nat
iptables -F -t nat
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

Funktioniert soweit gut, nur merkt sich die nat - Tabelle beim Protokoll PPTP die Quell-IP für meinen Geschmack zu lange, d. h. beim Trennen einer PPTP-Verbindung vom PC 1 kann ich erst nach einer best. Zeit eine erneute Verbindung zum selben PPTP-Server von PC 2 aufbauen, weil in der nat Tabelle immer noch die alte Quell-IP von PC 1 steht. Wie bringe ich nat dazu beim Trennen der ersten Verbindung auch den Eintrag dieser Verbindung in der Tabelle zu löschen bzw. kann ich eine TTL-Zeit nach Trennen der Verbindung einstellen?

Danke!

Thomas
HangLoose
22.08.03, 00:39
moin moin

ich weiß jetzt nicht, wie du die verbindung aufbaust. aber wie wär's, wenn du ein script bastelst was die verbindung aufbaut und vorher die nat table löscht.


Gruß HL
thomas1446
22.08.03, 14:13
Verbindung wird vom Client aus aufgebaut - dial on demand! beim Starten des SuSE-Routers wird das iptables-Script über /etc/rc.d/boot.local aufgerufen - incl.
iptables -F -t nat

ok ich könnte alle 5min über crontab das Script ausführen, aber gibt es sonst keine Optionen?

Danke!

Thomas
HangLoose
22.08.03, 17:19
hi


Verbindung wird vom Client aus aufgebaut - dial on demand!


wenn du den verbindungsaufbau nicht irgendwie in ein script packen kannst, wüßte ich jetzt auch keine lösung.

eine *option* für iptables die nat-table irgendwie zeitabhängig zu löschen, ist mir jedenfalls nicht bekannt.


Gruß HL
thomas1446
23.08.03, 14:04
Sorry das Drama ist doch anders als gedacht!
Konstellation:

kleines Netz - Router incl. iptables+nat - Internet - VPN Server (PPTP)

Problem: Verbindung funktioniert, aber nach Trennen kann ich mich solange nicht von einem anderen PC im Netz einwählen, bis VPN Server selbst auflegt. Vom ersten
PC ist das ohne weiteres mögl. - ergo - durch nat merkt sich Router die Quell-IP
und läßt keine andere zu, bis VPN Server auflegt.

Versuch: iptables -Z -t nat Tabelle nachweislich gelöscht, aber keine Verbindung von PC 2, nur ein rcnetwork restart schafft Abhilfe!

Diagnose: Verbindung ist nicht vollständig getrennt?! Warum?
SuSE 8.0. Kernel 2.4.18

Ist das Problem in der Version bekannt?
Wie komme ich über ADSL auch ohne Nat raus? (keine öffentl. IP vorhanden)
Bzw. gibt es "irgendwo" eine Einstellung, um eine PPTP-Verbindung "wirksam"
zu trennen? (am Client ist Verbindung definitiv tot!)

Danke !

Thomas