routen auf 2. netzwerkkarte

[macosbrain]

hi

hab folgendes problem. hab in meiner suse 10 kiste mit 2 netzwerkkarten.

karte 1 hat die ip 192.168.0.1 und soll als router dienen.
die 2. bekommt (über dhcp) ip und gateway mitgeteilt und ist damit im
internet.

wie kann ich nun die 1. karte als gateway einrichten damit alle anfragen, die nicht für das lokale netzwerk bestimmt sind, an die 2. weitergeleitet werden.
ich möchte aber nicht an eine bestimmte ip weiterleiten da sich die ip ja über dhcp ändern kann.

hab schon das das "default gw" mit route eingerichtet aber das funktioniert nicht.

habt ihr ein paar tipps für mich????

mfg
macosbrain


EDIT: wenn ich squid benutze funktioniert es schon. vielleicht hilft das ja.

 

[factorx]

Bist du sicher, dass du die richtige IP-Adresse als default gw angegeben hast?
Default Gateway ist in deinem Fall die 192.168.0.1, da sie die nächste Verbindung zur Außenwelt (0.0.0.0) darstellt!

Beispiel (bei mir mit BSD (Mac OS X) route)
route add -net default 192.168.0.1 255.255.255.0

Du kannst übrigens auch die meisten DHCP-Server so konfigurieren, dass sie sich die MAC-Adressen der Clients merken, und ihnen anhand dieser immer wieder dieselbe IP-Adresse zuweisen.

 

[rsi]

Ich hoffe ich habe dich richtig verstanden.

Du mußt die Packete an das Interface routern und DNAT machen, also mit iptables.

Schau mal hier unter Punkt 3.3, vielleicht hilft das etwas.
http://linuxrouter.minots.net/routing.html

Beispiel:

iptables -t nat -A PREROUTING-i $WAN -j DNAT --to 192.168.0.1
iptables        -A PREROUTING -i $WAN -d 192.168.0.1 -j ACCEPT

Wobei $WAN z.B. ppp0 oder eth0 sein kann.
Aber wenn du den Router wirklich flexibel konfiguriern willst, gehören noch ein paar mehr Befehle in das Script für iptables.

 

[Havoc][]

Du mußt die Packete an das Interface routern und DNAT machen, also mit iptables.

Wieso muss er iptables verwenden? Routen kann man auch so. Iptables benötigt er erst fürs Maskieren.

Da der Rechner bereits die Routen in beide Netze hat bzw. kennt müsste er nur noch das Routing aktivieren. Unter debian gehts mit:

echo 1 > /proc/sys/net/ipv4/ip_forward

Wie das allerdings mit SuSE aussieht weis ich nicht.

Havoc][

 

[theton]

http://www.unixboard.de/vb3/showthread.php?t=17103 <- da hatte ich mal ein Script veroeffentlich, das auch bei SuSE funktionieren sollte, wenn du den Pfad zu iptables anpasst. Das macht aus jedem Rechner mit 2 Netzwerkkarten schnell mal nen Router mit einer grundlegenden Firewall.

 

[rsi]

Wieso muss er iptables verwenden? Routen kann man auch so. Iptables benötigt er erst fürs Maskieren.

Da der Rechner bereits die Routen in beide Netze hat bzw. kennt müsste er nur noch das Routing aktivieren. Unter debian gehts mit:

echo 1 > /proc/sys/net/ipv4/ip_forward

Wie das allerdings mit SuSE aussieht weis ich nicht.

Havoc][

Wenn man ein einigermassen sicheres und kontrolliertes Routing haben will, macht man es normal mit iptables.

 

[Havoc][]

Wenn man ein einigermassen sicheres und kontrolliertes Routing haben will, macht man es normal mit iptables.

Wieso sollte man? Was ist an Routing unsicher?

Havoc][

 

[macosbrain]

Bist du sicher, dass du die richtige IP-Adresse als default gw angegeben hast?
Default Gateway ist in deinem Fall die 192.168.0.1, da sie die nächste Verbindung zur Außenwelt (0.0.0.0) darstellt!

Beispiel (bei mir mit BSD (Mac OS X) route)
route add -net default 192.168.0.1 255.255.255.0

Du kannst übrigens auch die meisten DHCP-Server so konfigurieren, dass sie sich die MAC-Adressen der Clients merken, und ihnen anhand dieser immer wieder dieselbe IP-Adresse zuweisen.

ne das funktioniert nicht da ich das defaultgateway für das internet benötige.
wenn ich 192.168.0.1 angebe hab ich gar kein internet mehr.
werde es mal mit iptables problieren


EDIT: "echo 1 > /proc/sys/net/ipv4/ip_forward" ist aktiv, funktioniert jedoch auch nicht


EDIT2:
linux:~ # iptables -t nat -A PREROUTING -i eth0 -j DNAT --to 192.168.0.1
linux:~ # iptables -A PREROUTING -i eth0 -d 192.168.0.1 -j ACCEPT
iptables: No chain/target/match by that name

????? -> funktioniert leider auch nicht

 

[factorx]

Dann musst du eine Route ins 192.168.0.0er Netz auf Netzwerkkarte Nummer 1 erstellen!

 

[macosbrain]

die erste karte ist aber 192.168.0.1. du meinst bestimmt die 2. oder ???
kannst du mir vielleicht noch genauer sagen wie ich das dann anstelle?

mfg
macosbrain

 

[factorx]

Nee, die zweite bekommt ja laut Aussage ihre IP-Adresse aus dem Internet per DHCP, wenn ich das richtig verstanden habe?

Karte 1 möchtest du als 192.168.0.1 konfigurieren, so weit richtig?

Jetzt möchtest du aber noch eine Route erstellen, damit Hosts im Internet auch Pakete an dein privates Netz schicken können. Ich gehe davon aus, dass du die Subnetzmaske 255.255.255.0 verwendest. Folglich ist die Netzwerkadresse des Netzes, in dem Karte 1 (mit der IP-Adresse 192.168.0.1) sich befindet 192.168.0.0.

Nun musst du eben wie gesagt eine statische Route erstellen, damit Pakete zwischen deinen beiden Netzwerkkarten geroutet werden können. Dies machst du z.B. so:

route add -net 192.168.0.0 -netmask 255.255.255.0 -interface ethX

ethX ist hierbei der Name der Netzwerkkarte, die bei dir die IP-Adresse 192.168.0.1 hat.

Die Syntax des route Befehls kann bei dir durchaus anders sein. Schaue einfach mal in der manpage nach.

Viel Erfolg!

 

[macosbrain]

route add -net 192.168.0.0 -netmask 255.255.255.0 -interface ethX

genau das suche ich. bei suse 10 ist es aber nicht möglich das ich auf ein interface zu routen.

-------------------zusammenfassung------------------------------
also ich werde einfach noch mal mein problem erörtern vielleicht kann man mir dann besser helfen.
also mein suse 10 system hat 2 netzwerkkarten. nummer 1 geht ins kabelmodem das mir dann ip, gateway und dns zuweist(das funktioniert). an der 2. netzwerkkarte hängt ein switch mit x windows rechnern die über den suse 10 rechner ins internet sollen. wenn ich squid anschalte läuft alles ohne probleme.
ich möchte aber nicht ständig ein proxy eintragen sondern ein gateway benutzen(der suse rechner).

so um das ganze zu testen hab ich nen 3. rechner als "internet" konfiguriert der rechner gibt allen rechnern im netzwerk 192.168.0.0 über dhcp eine ip, gateway und dns.
suse bezieht also über diesen 3. rechner(das "internet") seine IP:

eth0      Link encap:Ethernet  HWaddr 00:13:8F:7A:AB:CF
          inet addr:192.168.0.226  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::213:8fff:fe7a:abcf/64 Scope:Link
          UP BROADCAST NOTRAILERS RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:2986 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2387 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:299674 (292.6 Kb)  TX bytes:492948 (481.3 Kb)
          Interrupt:225 Base address:0x4000

das funzt.

dann habe ich manuell die 2. netzwerkkarte auf

eth1      Link encap:Ethernet  HWaddr 00:0C:F6:0E:6F:1F
          inet addr:192.168.50.1  Bcast:192.168.50.255  Mask:255.255.255.0
          inet6 addr: fe80::20c:f6ff:fe0e:6f1f/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:146 errors:0 dropped:0 overruns:0 frame:0
          TX packets:41 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:18686 (18.2 Kb)  TX bytes:3379 (3.2 Kb)
          Interrupt:50 Base address:0x6800

konfiguriert und ein rechner angeschloßen(192.168.50.5) der 192.168.50.1 als gateway und dns eingetragen hat.

wer macht jetzt was:
suse (192.168.50.1 und 192.168.0.226) kann ins internet und 192.168.50.5 pingen
192.168.50.5 kann 192.168.50.1 pingen kommt aber NICHT ins internet.


lösungsansätze:

echo 1 >> /proc/sys/net/ipv4/ip_forward

ist aktiviert bringt nichts

linux:~ # iptables -t nat -A PREROUTING -i eth0 -j DNAT --to 192.168.0.1
linux:~ # iptables -A PREROUTING -i eth0 -d 192.168.0.1 -j ACCEPT
iptables: No chain/target/match by that name

seht iht ja geht auch nicht.

linux:~ # iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/16 -j MASQUERADE

hab ich auch noch versucht -> nichts

linux:~ # route add 192.168.50.0 gw 192.168.0.226

liefert mir folgende routing tabelle:

linux:~ # route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.50.0    linux.mshome.ne 255.255.255.255 UGH   0      0        0 eth0
192.168.50.0    *               255.255.255.0   U     0      0        0 eth1
192.168.0.0     *               255.255.255.0   U     0      0        0 eth0
link-local      *               255.255.0.0     U     0      0        0 eth1
loopback        *               255.0.0.0       U     0      0        0 lo
default         internet.mshome 0.0.0.0         UG    0      0        0 eth0

hilf jedoch auch nicht

was kann man da noch machen. wär nett wenn mir nochmal jemand helfen könnte.

 

[theton]

Dann mach doch einfach mal die SuSE-Firewall aus und benutze die Default-Chains der IPTables. Dass der die PREROUTING-Kette nicht kennt, weist naemlich darauf hin, dass du die SuSE-Firewall an hast. Oder konfiguriere die SuSE-FW einfach mit yast. Einfach auf dem Interface das Routen soll das IP-Forwarding aktivieren, Routing-Tabellen einstellen (meist reichen hier schon die Default-Werte), fertig.

 

[rsi]

Wieso sollte man? Was ist an Routing unsicher?

Havoc][

Hast du schon mal ein richtiges Netzwerk mit Routing und heterogenem Netzwerk aufgebaut? Sonst würdest du mich das nicht fragen.

@macrosbrain

EDIT2:
linux:~ # iptables -t nat -A PREROUTING -i eth0 -j DNAT --to 192.168.0.1
linux:~ # iptables -A PREROUTING -i eth0 -d 192.168.0.1 -j ACCEPT
iptables: No chain/target/match by that name

????? -> funktioniert leider auch nicht

Das war ja auch nur ein Beispiel und ich schrieb, dass dies nicht alleine reicht, du mußt schon noch einige iptable Befehle dazu packen. Dazu habe ich dir einen Link geschickt, also schau bitte nach und lies mal!

Ok, ich gebe dir mal ein IPTABLES Beispiel auf einem Router / Firewall mit zwei Netzwerk Karten (eth0 = Internet-Anbindung mit fester lokaler IP auf dem alles aus dem I-Net ankommt, eth1 = internes Netzwerk mit Linux und Windows Clients).
Auf dem Router/Firewall läuft auch ein Apache und FTP bzw. FTP wird zu einem anderem Server routed.
Für das lokale Netzwerk läuft ein Squid und FTP Proxy.
Wenn irgend wo die IP nicht fest ist, mußt du diese einfach per ifconfig und einem Script feststellen und in eine Variable setzen, welche du dann im Router/Firewall Script einfügst.

Beispiel eines funktionierendem Router/Firewall:

iptables -A PREROUTING -d 192.168.1.1 -p tcp -m tcp --dport 20:21 -j DNAT --to-destination 192.168.2.6 
iptables -A PREROUTING -d 192.168.1.1 -p udp -m udp --dport 20:21 -j DNAT --to-destination 192.168.2.6 
iptables -A POSTROUTING -o eth0 -j MASQUERADE 
iptables -A INPUT -i lo -j ACCEPT 
iptables -A INPUT -s 192.168.2.0/255.255.255.0 -i eth1 -j ACCEPT 
iptables -A INPUT -s 192.168.2.0/255.255.255.0 -i eth0 -j dali 
iptables -A INPUT -d 192.168.1.1 -i eth0 -j ACCEPT 
iptables -A INPUT -d 192.168.1.1 -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT 
iptables -A INPUT -d 192.168.1.1 -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 80 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT 
iptables -A INPUT -d 192.168.1.1 -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 21 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT 
iptables -A INPUT -i eth0 -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT 
iptables -A INPUT -i eth0 -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 5/sec -j ACCEPT 
iptables -A INPUT -j dali 
iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT 
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT 
iptables -A FORWARD -d 192.168.2.6 -i eth0 -p tcp -m tcp --dport 20:21 -j ACCEPT 
iptables -A FORWARD -d 192.168.2.6 -i eth0 -p udp -m udp --dport 20:21 -j ACCEPT 
iptables -A FORWARD 
iptables -A OUTPUT -o lo -j ACCEPT 
iptables -A OUTPUT -s 192.168.1.1 -d 192.168.2.0/255.255.255.0 -o eth1 -j ACCEPT 
iptables -A OUTPUT -s 192.168.2.1 -d 192.168.2.0/255.255.255.0 -o eth1 -j ACCEPT 
iptables -A OUTPUT -d 192.168.2.0/255.255.255.0 -o eth0 -j dali 
iptables -A OUTPUT -s 192.168.1.1 -o eth0 -j ACCEPT 
iptables -A OUTPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT 
iptables -A OUTPUT -j dali 
iptables -A dali -j LOG --log-level 6 
iptables -A dali -j REJECT --reject-with icmp-port-unreachable

192.168.1.0 = Internet-Anbindung auf eth0
192.168.2.0 = Lokales (internes) Netzwerk mit Clients.

Ich empfehle dir, dich etwas mehr mit iptables und Firewall/Routing auseinander zu setzen und etwas mehr darüber zu lesen, damit es auch klappt.

Schönen Gruß

 

[supersucker]

Hast du schon mal ein richtiges Netzwerk mit Routing und heterogenem Netzwerk aufgebaut? Sonst würdest du mich das nicht fragen.

Tolle Antwort.

Antworten der Form:

"Es ist so weil ich ja so ein Experte bin und so viel Ahnung habe und das im Gegensatz zu dir schon gemacht hab."

haben noch niemand weiter gebracht.

Wenn du dir zu schade dafür bist ein oder zwei richtige Gründe aufzuführen, dann lass es halt.
Dann kannst du dir aber auch gleich obige Aussage schenken.

Denn sowas wie

Sonst würdest du mich das nicht fragen.

wirkt ungemein arrogant.

 

[rsi]

Tolle Antwort.

Antworten der Form:

"Es ist so weil ich ja so ein Experte bin und so viel Ahnung habe und das im Gegensatz zu dir schon gemacht hab."

haben noch niemand weiter gebracht.

Wenn du dir zu schade dafür bist ein oder zwei richtige Gründe aufzuführen, dann lass es halt.
Dann kannst du dir aber auch gleich obige Aussage schenken.

Denn sowas wie



wirkt ungemein arrogant.

Wenn du das meinst, bitte sehr. Deine Meinung. Wer mich aber fragt, warum routen ohne IPTABLES unsicher ist, bekommt von mir keine andere Antwort.
Ich kann auch mein DSL Modem direkt dran hängen und schauen was passiert.

Wenn ich schon solche Tips wie er oben gebe, dann sollte ich mich auch etwas mit der Materie auseinander setzen und nicht einfach sagen, route einfach per "beliebiger Befehl hier". Denn dann hat der andere mit Sicherheit nichts davon.

Sorry, wenn ich es gewohnt bin sichere Netzwerke aufzubauen. Wenn du damit ein Problem hast, ist es dein Problem.

 

[theton]

iptables -A PREROUTING -d 192.168.1.1 -p tcp -m tcp --dport 20:21 -j DNAT --to-destination 192.168.2.6 
iptables -A PREROUTING -d 192.168.1.1 -p udp -m udp --dport 20:21 -j DNAT --to-destination 192.168.2.6 
iptables -A POSTROUTING -o eth0 -j MASQUERADE 
iptables -A INPUT -i lo -j ACCEPT 
iptables -A INPUT -s 192.168.2.0/255.255.255.0 -i eth1 -j ACCEPT 
iptables -A INPUT -s 192.168.2.0/255.255.255.0 -i eth0 -j dali 
iptables -A INPUT -d 192.168.1.1 -i eth0 -j ACCEPT 
iptables -A INPUT -d 192.168.1.1 -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT 
iptables -A INPUT -d 192.168.1.1 -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 80 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT 
iptables -A INPUT -d 192.168.1.1 -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 21 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT 
iptables -A INPUT -i eth0 -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT 
iptables -A INPUT -i eth0 -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 5/sec -j ACCEPT 
iptables -A INPUT -j dali 
iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT 
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT 
iptables -A FORWARD -d 192.168.2.6 -i eth0 -p tcp -m tcp --dport 20:21 -j ACCEPT 
iptables -A FORWARD -d 192.168.2.6 -i eth0 -p udp -m udp --dport 20:21 -j ACCEPT 
iptables -A FORWARD 
iptables -A OUTPUT -o lo -j ACCEPT 
iptables -A OUTPUT -s 192.168.1.1 -d 192.168.2.0/255.255.255.0 -o eth1 -j ACCEPT 
iptables -A OUTPUT -s 192.168.2.1 -d 192.168.2.0/255.255.255.0 -o eth1 -j ACCEPT 
iptables -A OUTPUT -d 192.168.2.0/255.255.255.0 -o eth0 -j dali 
iptables -A OUTPUT -s 192.168.1.1 -o eth0 -j ACCEPT 
iptables -A OUTPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT 
iptables -A OUTPUT -j dali 
iptables -A dali -j LOG --log-level 6 
iptables -A dali -j REJECT --reject-with icmp-port-unreachable

Nur dass dieses "Skript" das IP-Forwarding nicht aktiviert und von daher ziemlich nutzlos ist. Ich wage also mal zu bezweifeln, dass dies einen funktionierenden Router ergibt. Und wozu man das Default-Reject noch in eine extra Kette packen muss, is mir auch nicht ganz klar, es sei denn, man will die Latenzzeit des Netzwerk-Zugriffs unnoetig erhoehen. Ausserdem ist es sehr unschoen einem Newbie Befehle um die Ohren zu hauen ohne diese zu erklaeren. *find*

Und wenn die PREROUTING-Kette nicht auffindbar ist, kann macosbrain tausende Firewall/Routing-Skripte ausprobieren, die werden alle nichts bringen solange die SuSE-FW an ist, denn ich kann mir eigentlich nur vorstellen, dass diese die PREROUTING ueberschreibt. Schliesslich ist das eine der Default-Ketten der IPTables (ausserdem nutzt man die eigentlich nur fuer das Routing vom Internet in die DMZ, also z.B. beim Portforwarding). Und sooo schlecht ist die SuSE-FW nicht. Es spricht also in meinen Augen nichts dagegen, wenn ein Anfaenger seine Firewall mit YaST aufsetzt und auch das Routing darueber aktiviert.

Ich wuerde eher ein Skript der folgenden Art nehmen:

#!/bin/bash

echo "Starting firewall and routing"

LOGLIMIT=20
IPTABLES=/usr/sbin/iptables

case "$1" in
start)
        # alle alten Regeln entfernen (sollte auch die von der SuSE-FW rausschmeissen)
        echo "Loesche alte Regeln"
        $IPTABLES -F
        $IPTABLES -X

        ### MAIN PART ###
        echo "Setze Default-Policy auf DROP"
        $IPTABLES -P INPUT DROP
        $IPTABLES -P FORWARD DROP
        $IPTABLES -P OUTPUT ACCEPT
        echo 1 > /proc/sys/net/ipv4/ip_forward # aktiviere IP-Forwarding
        # und das Routing aktivieren
        $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
        $IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
        $IPTABLES -t nat -A POSTROUTING -o eth1 -j MASQUERADE

        ### PROC MANIPULATION ###

        # auf Broadcast-Pings nicht antworten
        echo "Unterbinde Broadcast-Pings"
        echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

        # halt die Klappe bei komischen ICMP Nachrichten
        echo "Aktiviere Bogus ICMP Message Protection"
        echo 0 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

        # aktiviere SYN Flood Protection
        echo "Aktiviere SYN FLOOD Protection"
        echo 1 > /proc/sys/net/ipv4/tcp_syncookies

        # Kicke den ganzen IP Spoofing Shit
        # (Source-Validierung anschalten)
        echo "Unterbinde IP Spoofing Attacken"
        echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
        # Setze Default-TTL auf 61 (Default fuer Linux ist 64)
        echo "Setze Default-TTL auf 61"
        echo 61 > /proc/sys/net/ipv4/ip_default_ttl

        # sende RST-Pakete wenn der Buffer voll ist
        echo 1 > /proc/sys/net/ipv4/tcp_abort_on_overflow

        # warte max. 30 secs auf ein FIN/ACK
        echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout

        # unterbreche Verbindungsaufbau nach 3 SYN-Paketen
        # Default ist 6
        echo 3 > /proc/sys/net/ipv4/tcp_syn_retries

        # unterbreche Verbindungsaufbau nach 3 SYN/ACK-Paketen
        # Default ist 6
        echo 3 > /proc/sys/net/ipv4/tcp_synack_retries

        # im Loopback (127.0.0.1) koennen wir jedem trauen
        $IPTABLES -A INPUT -i lo -j ACCEPT
        # erlaube Pings
        $IPTABLES -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

        #erlaube Anfragen nur fuer das lokale netzwerk auf dem router
        echo "Erlaube Anfragen im lokalen netzwerk an den Router"
        $IPTABLES -A INPUT -i eth0 -j ACCEPT

        ;;

*)
        echo "Usage: `basename $0` {start}" >&2
        exit 64
        ;;
esac

exit 0

Hier geht eth0 zum LAN und eth1 zum Internet. Wenn irgendwas bei der proc-Manipulation nicht funktioniert einfach die entsprechende Zeile ausdokumentieren.

 

[factorx]

Wenn du das meinst, bitte sehr. Deine Meinung. Wer mich aber fragt, warum routen ohne IPTABLES unsicher ist, bekommt von mir keine andere Antwort.
Ich kann auch mein DSL Modem direkt dran hängen und schauen was passiert.

Wenn ich schon solche Tips wie er oben gebe, dann sollte ich mich auch etwas mit der Materie auseinander setzen und nicht einfach sagen, route einfach per "beliebiger Befehl hier". Denn dann hat der andere mit Sicherheit nichts davon.

Sorry, wenn ich es gewohnt bin sichere Netzwerke aufzubauen. Wenn du damit ein Problem hast, ist es dein Problem.

Bitte erkläre mir mal, warum Routing ansich "unsicher" ist.

Und wenn ich mich recht entsinne, habe ich ihm erklärt warum er was genau machen muss. Du warst der, der dieses elend lange, unkommentierte Iptables Script gepostet hat...

 

[theton]

Koenntet ihr eure Kommunikationsprobleme bitte per PN klaeren? Das tut doch hier wirklich nicht zur Sache. *find* Was soll denn unser neuer User von uns denken?

 

[rsi]

Nur dass dieses "Skript" das IP-Forwarding nicht aktiviert und von daher ziemlich nutzlos ist. Ich wage also mal zu bezweifeln, dass dies einen funktionierenden Router ergibt. Und wozu man das Default-Reject noch in eine extra Kette packen muss, is mir auch nicht ganz klar, es sei denn, man will die Latenzzeit des Netzwerk-Zugriffs unnoetig erhoehen. Ausserdem ist es sehr unschoen einem Newbie Befehle um die Ohren zu hauen ohne diese zu erklaeren. *find*

Ich weiß nicht, wenn ich ein Beispiel gebe, heißt das doch nicht, daß ich eine komplette Lösung anbiete! Dazu habe ich schon viel weiter oben einen Link geschickt, den er sich mal durchlesen sollte, damit er einigermaßen versteht worum es eigentlich geht. Was IMHO die bessere Lösung wäre.

Und ja, der Router funktioniert und zwar einwandfrei. Nur das ich nicht das komplette (original Script) gepostet habe (siehe oben, Beispiel) und ich einige Einträge entfernt habe.
Und das Reject in eine zusätzlliche Kette zu legen, hat einfach den Grund der schneller Erweiterbarkeit / Änderbarkeit und gleichzeitig besseren Wartung. Das ist bei meiner Arbeit öfter mal nötig und es enthält im original noch andere Einträge.
Aber das ist wohl hier nicht gefragt, aus diesem Grund kann man es auch abkürzen und direkt einbauen.
Wie schon erwähnt, es war ein Beispiel, das ich auf die Schnelle geposted habe.

BTW:
Ich mache das hier in meiner Freizeit. Wenn ich ein komplette fertiges Script liefern soll (oder besser gleich einen Router aufsetzen), nehme ich normalerweise Geld dafür.

Und entschuldige, aber ich finde Hilfe zur Selbsthilfe, also zu eigenem Verständnis der Materie, immer noch besser, als jemandem eine fertige Suppe hin zu stellen und er hat am Ende doch nichts kappiert. So habe ich es auch bei Schulungen immer gehalten und die Leute waren am Ende gut bedient und wußten was sie da eigentlich machen.

Was die SuSE Firewall angeht, von der habe ich noch nie viel gehalten. Ich muss auch zugeben, obiges Beispiel ist von einer Debian Installation, was natürlich bei einer SuSE Installation nicht unbedingt gleichbedeuten sein muss. In dem Sinne ist auch das Forwarding nicht in dem Beispiel drin (welches ja schon oben von anderen geposted wurde), sondern wir standardmäßig wo anders aktiviert. Ich denke mal, wenn es oben schon klar gemacht wurde, wie es aktiviert wird, muß ich es nicht noch mal posten.

Und um noch mal ein Beispiel zu geben, wie er die IP-Adresse in das Script einbauen kann um die IP von eth0 zu erfahren.

WAN=`ifconfig eth0 | grep "inet addr:" | awk -F: {'print $2'} | awk {'print $1'}`

WAN kann er dann im Script per $WAN für die entsprechende IP einsetzen.

Mehr als hier Tips geben, kann ich auch nicht machen. Ich weiß weder wie gut der jenige sich auskennt und auch nicht wie sein System aufgesetzt ist.
Wenn das nicht gewünscht ist, kann ich es auch gerne lassen.


@factorx
Wenn du meine obigen Aussagen nicht verstanden hast, können wir das gerne per PN weiter diskutieren.