Hi an alle,
Ich hab hier suse7.1 als Proxy- und Mailserver am laufen.
Ich moechte nun noch Masquerading aktivieren.
Vorher hatte ich suse70 laufen mit Kernel 2.2.16.
Ich hatte ipchains installiert, das Skript vom suse server kopiert
und die links in die entsprechenden Runlevels gemacht und anschliessend lief das ganze.
Nun habe ich den Kernel 2.4.0 bei suse7.1 laufen und ipchains funzt nicht mehr.
Wie kann ich nun mit iptables masquerading aktivieren.
Kann ich das Skript von suse noch verwenden oder wie laeuft das ganze jetzt ab?
Ich hoffe ihr koennt mir helfen.
ipchains iptables
Re: ipchains iptables
Hallöchen
iptables -A POSTROUTING -t nat -o <interface zum internet zb:ppp0> -j MASQUERADE
aufpassen:
die chains werden in anderer Reihenfolge durchwandert als bei ipchains.
im input und output kommen nur mehr pakete die den localen Rechner betreffen,
über den forward kommen dann die gerouteten Pakete, rein und raus.
falls noch keine module geladen wurden:
modprobe ip_tables
iptables -A POSTROUTING -t nat -o <interface zum internet zb:ppp0> -j MASQUERADE
aufpassen:
die chains werden in anderer Reihenfolge durchwandert als bei ipchains.
im input und output kommen nur mehr pakete die den localen Rechner betreffen,
über den forward kommen dann die gerouteten Pakete, rein und raus.
falls noch keine module geladen wurden:
modprobe ip_tables
-
hiTcher
Re: ipchains iptables
Hi,
Danke fuer den Tip funktioniert soweit aber ...
Ich kann nun von der Windows-Kiste einen Ping ins Internet senden und auch ein Traceroute und bekomme ein request.
Will ich nun aber eine ftp Verbindung machen geht soweit alles in Ordnung.
Hier ein Beispiel:
------------------------------------------------------------------------------------------------------------
ftp> open ftp.freenet.de
Verbindung mit ftp.freenet.de wurde hergestellt.
220 ftp.freenet.de FTP server ready.
Benutzer (ftp.freenet.de:(none)): anonymous
331 Guest login ok, send your complete e-mail address as password.
Kennwort:
230-Welcome to ftp.freenet.de, the freenet ftp server. You are user 238
230-out of a possible 2000 in your user class. README contains a list of
230-mirrored archives.
230-
230-In case of problems please contact service@freenet.de.
230-
230-Please read the file README
230- it was last modified on Sun Jun 17 23:29:43 2001 - 10 days ago
230 Guest login ok, access restrictions apply.
ftp> ls
500 Illegal PORT Command
425 Can't build data connection: Connection refused.
ftp> close
221-You have transferred 0 bytes in 0 files.
221-Total traffic for this session was 678 bytes in 0 transfers.
221-Thank you for using the FTP service on ftp.freenet.de.
221 Goodbye.
------------------------------------------------------------------------------------------------------------
Gebe ich nun einen Befehl ein (im Beispiel 'ls') bekomme ich eine Fehlermeldung:
500 Illegal Port Command
Das selbe passiert wenn ich mit einer anderen Software eine ftp Zugriff starte (Windows Commander).
Vielleicht kann mir da jemand helfen.
Danke fuer den Tip funktioniert soweit aber ...
Ich kann nun von der Windows-Kiste einen Ping ins Internet senden und auch ein Traceroute und bekomme ein request.
Will ich nun aber eine ftp Verbindung machen geht soweit alles in Ordnung.
Hier ein Beispiel:
------------------------------------------------------------------------------------------------------------
ftp> open ftp.freenet.de
Verbindung mit ftp.freenet.de wurde hergestellt.
220 ftp.freenet.de FTP server ready.
Benutzer (ftp.freenet.de:(none)): anonymous
331 Guest login ok, send your complete e-mail address as password.
Kennwort:
230-Welcome to ftp.freenet.de, the freenet ftp server. You are user 238
230-out of a possible 2000 in your user class. README contains a list of
230-mirrored archives.
230-
230-In case of problems please contact service@freenet.de.
230-
230-Please read the file README
230- it was last modified on Sun Jun 17 23:29:43 2001 - 10 days ago
230 Guest login ok, access restrictions apply.
ftp> ls
500 Illegal PORT Command
425 Can't build data connection: Connection refused.
ftp> close
221-You have transferred 0 bytes in 0 files.
221-Total traffic for this session was 678 bytes in 0 transfers.
221-Thank you for using the FTP service on ftp.freenet.de.
221 Goodbye.
------------------------------------------------------------------------------------------------------------
Gebe ich nun einen Befehl ein (im Beispiel 'ls') bekomme ich eine Fehlermeldung:
500 Illegal Port Command
Das selbe passiert wenn ich mit einer anderen Software eine ftp Zugriff starte (Windows Commander).
Vielleicht kann mir da jemand helfen.
Re: ipchains iptables
du musst die module für ftp laden
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
-
Boron
Re: ipchains iptables
Hi zusamen,
ich hab das selbe ftp-Problem wie hiTcher. Wenn ich allerdings den Tipp von Ronny Buchmann beherzige und "modprobe ip_conntrack_ftp" bzw. "modprobe ip_nat_ftp" ausprobiere, dann bekomme ich jedesmal die Meldung "device or resource busy" und "insmod failed".
Wenn ich mit lsmod nachschaue ob eines der beiden Module schon geladen ist: Fehlanzeige.
ich hab das selbe ftp-Problem wie hiTcher. Wenn ich allerdings den Tipp von Ronny Buchmann beherzige und "modprobe ip_conntrack_ftp" bzw. "modprobe ip_nat_ftp" ausprobiere, dann bekomme ich jedesmal die Meldung "device or resource busy" und "insmod failed".
Wenn ich mit lsmod nachschaue ob eines der beiden Module schon geladen ist: Fehlanzeige.
-
hiTcher
Re: ipchains iptables
Hallo,
Ich wieder.
Dank an
@Thomas H.
@Ronny Buchmann
Bei mir geht jetzt soweit alles.
Haett noch zwei kleine Fragen.
Muessen noch Module gesetzt werden um den Clients einen vollen Zugriff ueber den Router zu ermoeglichen?
Wie kann ich das ganze automatisieren so dass die Module beim Systemstart geladen werden?
Ich wieder.
Dank an
@Thomas H.
@Ronny Buchmann
Bei mir geht jetzt soweit alles.
Haett noch zwei kleine Fragen.
Muessen noch Module gesetzt werden um den Clients einen vollen Zugriff ueber den Router zu ermoeglichen?
Wie kann ich das ganze automatisieren so dass die Module beim Systemstart geladen werden?
Re: ipchains iptables
an Boron:
hast du ip_tables modul geladen?
bei suse 7.2 wird standardmäßig noch modul ipchains geladen, die vorher rausschmeißen...
hiTcher:
die module würde ich direkt im firewallskript laden,
also wo auch dann diverse iptables befehle drinn sind.
Das ganze in /etc/init.d kopieren.
Und dann noch vom skript einen soft link in die diverse runlevels ( ordner rc0.d bis rc6.d ).
hast du ip_tables modul geladen?
bei suse 7.2 wird standardmäßig noch modul ipchains geladen, die vorher rausschmeißen...
hiTcher:
die module würde ich direkt im firewallskript laden,
also wo auch dann diverse iptables befehle drinn sind.
Das ganze in /etc/init.d kopieren.
Und dann noch vom skript einen soft link in die diverse runlevels ( ordner rc0.d bis rc6.d ).
-
Tobias
Re: ipchains iptables
Wenn ich da mal eine technische Frage anstellen darf:
Die FTP Module machen doch eigentlich nichts anderes als den FTP Port für Zugriffe von außen zu öffnen, oder lieg ich da falsch?
Die FTP Module machen doch eigentlich nichts anderes als den FTP Port für Zugriffe von außen zu öffnen, oder lieg ich da falsch?
-
Sebastian Ude
Re: ipchains iptables
Nein, die tun etwas mehr.
Manche komplexere Protokolle können nicht ohne weiteres geNATtet werden, deswegen muss ein spezielles Helpermodul in den Kernel geladen werden.
Zitat von http://www.linuxdoc.org/LDP/nag2/x-087- ... onfig.html (redet zwar von ipchains und Kernel 2.2, an den technischen Fakten hat sich aber nichts geändert):
<blockquote><hr>
In the 2.2 series kernels, a number of protocol-specific helper modules are created during kernel compilation.
Some protocols begin with an outgoing request on one port, and then expect an incoming connection on another.
Normally these cannot be masqueraded, as there is no way of associating the second connection with the first without peering inside the protocols themselves. The helper modules do just that; they actually look inside the datagrams and allow masquerading to work for supported protocols that otherwise would be impossible to masquerade.
<hr></blockquote>
Manche komplexere Protokolle können nicht ohne weiteres geNATtet werden, deswegen muss ein spezielles Helpermodul in den Kernel geladen werden.
Zitat von http://www.linuxdoc.org/LDP/nag2/x-087- ... onfig.html (redet zwar von ipchains und Kernel 2.2, an den technischen Fakten hat sich aber nichts geändert):
<blockquote><hr>
In the 2.2 series kernels, a number of protocol-specific helper modules are created during kernel compilation.
Some protocols begin with an outgoing request on one port, and then expect an incoming connection on another.
Normally these cannot be masqueraded, as there is no way of associating the second connection with the first without peering inside the protocols themselves. The helper modules do just that; they actually look inside the datagrams and allow masquerading to work for supported protocols that otherwise would be impossible to masquerade.
<hr></blockquote>