Routing funktion in suse 8.2

[NetL@cher]

habe suse 8.2 und möchte ganz gerne die die internetverbindung freigeben, da ich noch 4 weitere rechner haben die aufs netz zugreifen sollen
wie und wo gebe ich das internet frei

[Stormbringer]

Mit der FW2, und ggf. einem squid proxy.

Gruß

[petameta]

Am einfachsten per Masquerading, z. B.:

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

[NetL@cher]

hmmm... ja genau

ob das mir einer noch genauer erklären kann, da ich damit überhaupt nichts anfangen kann, habe mit linux noch nicht allzuviel zu tun

thx

[petameta]

Du gibst diesen Befehl auf dem Router als root in der Kommandozeile an. Dadurch wird das sogenannte Masquerading aktiviert, unter Windows nennt sich das Internetverbindungsfreigabe. ppp0 steht dabei für das Gerät, auf dem DSL läuft. Wenn Du z. B. ISDN hast mußt Du ppp0 durch ippp0 ersetzen. Welches Gerät Du genau brauchst, erfährst Du mit "ifconfig".

Bei DSL würde ich Dir außerdem diesen Befehl empfehlen, da es sonst zu Problemen mit einigen Seiten kommt. Dieser Befehl fragmentiert die Pakete in für DSL passende kleinere Pakete, mehr dazu in der SuSE Support Datenbank, Stichwort MTU:

iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

Passenderweise packt man das ganze in ein Skript, das beim Starten ausgeführt wird, damit man es nicht nach jedem Neustart eingeben muß. Aber sag erstmal Bescheid, wenn es soweit klappt .

[NetL@cher]

JA ICH WERDE MAL SCHAUEN

ich denke mal das einer der sich mit linux auskennt damit was anfangen, kann bei mir ist das problem das ich nicht mal weiß wo ich das eingeben soll
aber ich werde mal noch nen kumpel fragen, der da ein wenig ahnung hat dann soll er sich daneben stellen während ich das konfiguriere
habe da sonst noch was anderes gefunden, falls es nicht das selbe ist <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">

Internetverbindung teilen (Masquerading)
Linux ist ja bekanntlich universell einsetzbar. Man kann unter Linux eine Internetverbindung teilen, so dass andere Rechner im lokalen Netzwerk auf das Internet zugreifen können. Wie das genau funktioniert, kannst du diesem Artikel entnehmen.

Warnung: Nicht alle Internet-Provider gestatten die zeitgleiche Nutzung eines Internetzugangs von mehreren Rechnern aus. Meiner Meinung nach ist das Unsinn, weil man mit mehreren Rechnern nicht mehr Traffic verursachen kann als bei ISDN- bzw. DSL überhaupt möglich ist. Von außen ist es jedoch fast unmöglich, die internen (surfenden) Rechner ausfindig zu machen. Die Entscheidung bleibt bei dir.

Mit den folgenden Anweisungen werden die drei ipchains-Ketten "input", "forward" und "output" geleert und so konfiguriert, dass alle Pakete passieren dürfen. Diese sollten sowohl bei der Aktivierung, als auch bei der Deaktivierung des Routers aufgerufen werden.

/sbin/ipchains -F
/sbin/ipchains -P input ACCEPT
/sbin/ipchains -P forward ACCEPT
/sbin/ipchains -P output ACCEPT


Die Router-Funktionalität muss über einen Schalter im Kernel aktiviert werden. Dazu schreibt man in das Kernel-Register "ip_forward" eine "1" rein. Das Masquerading, also dass alle Internetverbindungen über die dynamisch vom Provider zugeteilte IP-Adresse laufen, wird mit den beiden Ipchains-Anweisungen gestartet.

echo 1 > /proc/sys/net/ipv4/ip_forward
/sbin/ipchains -A input -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT
/sbin/ipchains -A forward -s 192.168.1.0/24 -d 0/0 -j MASQ


Während die Regeln des Paketfilters mit obigen ipchains-Aufrufen gelöscht werden, muss die Router-Funktionalität deaktiviert werden:

echo 0 > /proc/sys/net/ipv4/ip_forward


Da die ipchains-Aufrufe keine dynamischen IP-Adressen enthalten, kann die Router-Konfiguration zur Bootzeit (nach dem Starten des Netzwerks) aktiviert werden. Ein entsprechendes Shellscript findest du hier.




Script: Masquerading
#!/bin/sh
# Funktion: Masquerading-Script
# Lizenz: Frei für nicht-kommerzielle Nutzung. Dieser Kommentarblock
# muss erhalten bleiben und darf nicht verändert werden.
# Copyright: Martin Rasp <mr at linux-fuer-alle.de>
# Datum: 2002-03-16
# Haftung: Keine Haftung bei Schäden, die aus der direkten/indirekten
# Nutzung dieses Shell-Scripts entehen können.
#
IPCHAINS=/sbin/ipchains
LOCALNET=192.168.1.0/24
INTERNET=0/0

$IPCHAINS -F
$IPCHAINS -P input ACCEPT
$IPCHAINS -P forward ACCEPT
$IPCHAINS -P output ACCEPT

case "$1" in
start)
echo "Starte Masquerading..."
echo 1 > /proc/sys/net/ipv4/ip_forward
$IPCHAINS -A input -s $LOCALNET -d $LOCALNET -j ACCEPT
$IPCHAINS -A forward -s $LOCALNET -d $INTERNET -j MASQ
;;
stop)
echo "Stoppe Masquerading..."
echo 0 > /proc/sys/net/ipv4/ip_forward
;;
*)
echo "Usage: $0 {start|stop}"
exit 1
;;
esac
exit 0

[petameta]

Da DU SuSE 8.2 einsetzt, kannst Du die ipchains-Befehle nicht verwenden. Diese sind veraltet und funktionieren nur mit 2.2er Kerneln, bei SuSE ist ein 2.4er dabei. Du mußt also den iptables-Befehl verwenden.

Diesen mußt Du an der Konsole eingeben. Ich nehme mal an, Du hast SuSE ganz "normal" installiert, landest also nach dem hochfahren im grafischen login, und logst Dich als root ein. Jetzt sollte KDE starten.

Jetzt hast Du 2 Möglichkeiten, zur Konsole zu gelangen:

- Unten sollte so ein Symbol mit einer Muschel sein, die Shell. Klicke einfach drauf.
- Findest Du das Symbol nicht, drück mal ALT-F2. Dort gib einfach "bash" ein und Du bist an der Konsole.

[NetL@cher]

aja, alles klar soweit verstanden
habs auch schon eingegeben, gehabt, dann musste ich leider wieder fli4l anmachen da sich einige im haus aufgeregt haben <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">
ich schaue es mir morgen nochmal an

dieses "iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu" muss ich jetzt nach jedem neustart eingeben (der ja nicht so oft ist) richtig ??

wat muss ich denn noch einstellen ???
noch irgendwas besonderes in den netzwerkeinstellungen ???
habe 2 netzwerkarten drin (eine für dsl und eine für netzwerk) brauchen beide eine ip oder nur die für dsl ???

thx & mfg

[petameta]

Antwort mal in Kurzform:

- Die eine Netzwerkkarte sollte natürlich die IP für das LAN haben, z. B. 192.168.0.1 (entsprechend anders für dein LAN).
- Die DSL-Karte sollte eine andere IP bekommen, allerdings nicht aus demselben Subnetz, z. B. 192.168.1.1 oder so.
- Das device ppp0 hat die Internet-IP (ist wie eine virtuelle Netzwerkkarte). Diese erfährst Du mit dem Befehl "ifconfig". Daran siehst Du auch, ob der Router sich wirklich eingewählt hat.
- Ja, das muß bei jedem Neustart neu eingeben werden. Allerdings kann man das automatisieren. In /etc/rc.d/rc3.d liegen die Start-Skripte für den Runlevel. Aber lies Dir mal nen bißchen was zu den Startskripten durch, bevor Du da was änderst. Ist aber nicht sehr schwer.
- Weitere Einstellungen sind für das Routing nicht notwendig. Allerdings: Du solltest Dir eine einfache Firewall zulegen _und_ nicht benötigte Dienste abschalten. Ansonsten ist der Rechner leicht angreifbar.

Guck Dir mal die Datei /etc/inetd.conf an (also "pico /etc/inetd.conf" z. B.). Hier kannst Du nicht benötigte Dienste abschalten. Evtl. kannst Du sogar alle Dienste abschalten, kommt drauf an (FTP und Telnet sind nützlich). Mach am besten vorher ein Backup (cp /etc/inetd.conf /etc/inetd.conf.backup z. B.)

[NetL@cher]

soweit habe ich es erledigt
kann jetzt die netzwerkarte die dsl-karte und meine i-net ip anpingen
habe dann versucht heise.de anzupingen aber da passierte nichts
das war es auch schon, weiter komme ich nicht vorwärts in den netzwerkeinstellungen auf meinem rechner habe ich auch schon alles durchprobiert
was kann ich jetzt noch tun

[crushedice]

Hi,

also ich möchte mich nicht einmischen, weil ich auch Neuling mit Linux bin.
Ich habe allerdings auch Suse 8.2, und dort gibt?s bei Yast2 extra eine Admin Konfiguration fürs Routing.

Gruß,
crushedice

[NetL@cher]

soweit war ich auch schon
das hats irgendwie nicht gebracht
oder ich habe da was falsch gemacht <img src="http://www.pl-forum.de/UltraBoard/Images/Sad.gif" border="0" align="middle">

[NetL@cher]

ich habe jetzt die dsl karte auf 192.168.0.1 / Netzwerkarte auf 192.168.1.1 <--- Router
ip-adressen 192.168.1.100 - 192.168.1.108 <--- lokale Rechner
da interessiert aber nur erst die 192.168.1.100

ich kann mit dem suse 8.2 alle rechner im netz anpingen und umgekehrt - mit der 192.168.1.100 also meinem rechner kann ich auch die i-net ip anpingen, habe dann versucht die ip von www.heise.de anzupingen - ohne erfolg

welche einstellungen muss ich nun also noch vornehmen - bitte genau erklären, das ich diesmal fehler ausschließen kann
wenn mir jemand die routing funktion von suse 8.2 erklärt, bitte mit angeben wo welche ip rein muss (reicht für 192.168.1.100)

gerne nehme ich auch hilfreiche tips per
ICQ: 29693184
MSN: hansdampfsn@hotmail.com
entgegen

[petameta]

- Was gibt ein ifconfig aus. Poste das hier am besten mal.
- Was hast Du als Nameserver angegeben ? Am einfachsten Du stellst als Nameserver den Deine Providers ein, und zwar auf dem Router _und_ auf den internen Rechnern.
Eine alternative wäre auf dem Router einen Caching Nameserver laufen zu lassen.

[NetL@cher]

so, bin jetzt soweit das es funzt
habe da was vergessen bei den einstellungen <img src="http://www.pl-forum.de/UltraBoard/Images/Sad.gif" border="0" align="middle">

wie und wo erstelle ich jetzt das startscript ???
oder wo gebe ich den befehl ein das er beim start ausgeführt wird