Hinweis: Das Forum wird geschlossen! Neue Registrierungen sind nicht mehr möglich!

 Zurück zu Pro-Linux   Foren-Übersicht   FAQ     Suchen    Mitgliederliste
ipchains iptables

 
Neuen Beitrag schreiben   Auf Beitrag antworten    Pro-Linux Foren-Übersicht -> Netzwerk
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
hiTcher
Gast





BeitragVerfasst am: 26. Jun 2001 0:05   Titel: ipchains iptables

Hi an alle,

Ich hab hier suse7.1 als Proxy- und Mailserver am laufen.
Ich moechte nun noch Masquerading aktivieren.
Vorher hatte ich suse70 laufen mit Kernel 2.2.16.
Ich hatte ipchains installiert, das Skript vom suse server kopiert
und die links in die entsprechenden Runlevels gemacht und anschliessend lief das ganze.
Nun habe ich den Kernel 2.4.0 bei suse7.1 laufen und ipchains funzt nicht mehr.
Wie kann ich nun mit iptables masquerading aktivieren.
Kann ich das Skript von suse noch verwenden oder wie laeuft das ganze jetzt ab?
Ich hoffe ihr koennt mir helfen.
 

prg_tom



Anmeldungsdatum: 21.05.2001
Beiträge: 60
Wohnort: Österreich

BeitragVerfasst am: 26. Jun 2001 8:06   Titel: Re: ipchains iptables

Hallöchen

iptables -A POSTROUTING -t nat -o <interface zum internet zb:ppp0> -j MASQUERADE

aufpassen:
die chains werden in anderer Reihenfolge durchwandert als bei ipchains.
im input und output kommen nur mehr pakete die den localen Rechner betreffen,
über den forward kommen dann die gerouteten Pakete, rein und raus.


falls noch keine module geladen wurden:
modprobe ip_tables
 
Benutzer-Profile anzeigen Private Nachricht senden

hiTcher
Gast





BeitragVerfasst am: 26. Jun 2001 23:42   Titel: Re: ipchains iptables

Hi,

Danke fuer den Tip funktioniert soweit aber ...
Ich kann nun von der Windows-Kiste einen Ping ins Internet senden und auch ein Traceroute und bekomme ein request.
Will ich nun aber eine ftp Verbindung machen geht soweit alles in Ordnung.

Hier ein Beispiel:

------------------------------------------------------------------------------------------------------------
ftp> open ftp.freenet.de
Verbindung mit ftp.freenet.de wurde hergestellt.
220 ftp.freenet.de FTP server ready.
Benutzer (ftp.freenet.de:(none)): anonymous
331 Guest login ok, send your complete e-mail address as password.
Kennwort:
230-Welcome to ftp.freenet.de, the freenet ftp server. You are user 238
230-out of a possible 2000 in your user class. README contains a list of
230-mirrored archives.
230-
230-In case of problems please contact service@freenet.de.
230-
230-Please read the file README
230- it was last modified on Sun Jun 17 23:29:43 2001 - 10 days ago
230 Guest login ok, access restrictions apply.
ftp> ls
500 Illegal PORT Command
425 Can't build data connection: Connection refused.
ftp> close
221-You have transferred 0 bytes in 0 files.
221-Total traffic for this session was 678 bytes in 0 transfers.
221-Thank you for using the FTP service on ftp.freenet.de.
221 Goodbye.
------------------------------------------------------------------------------------------------------------

Gebe ich nun einen Befehl ein (im Beispiel 'ls') bekomme ich eine Fehlermeldung:

500 Illegal Port Command

Das selbe passiert wenn ich mit einer anderen Software eine ftp Zugriff starte (Windows Commander).
Vielleicht kann mir da jemand helfen.
 

ronny



Anmeldungsdatum: 24.04.2001
Beiträge: 313
Wohnort: Muehlacker, BW

BeitragVerfasst am: 27. Jun 2001 22:24   Titel: Re: ipchains iptables

du musst die module für ftp laden

modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
 
Benutzer-Profile anzeigen Private Nachricht senden

Boron
Gast





BeitragVerfasst am: 28. Jun 2001 10:36   Titel: Re: ipchains iptables

Hi zusamen,

ich hab das selbe ftp-Problem wie hiTcher. Wenn ich allerdings den Tipp von Ronny Buchmann beherzige und "modprobe ip_conntrack_ftp" bzw. "modprobe ip_nat_ftp" ausprobiere, dann bekomme ich jedesmal die Meldung "device or resource busy" und "insmod failed".
Wenn ich mit lsmod nachschaue ob eines der beiden Module schon geladen ist: Fehlanzeige.
 

hiTcher
Gast





BeitragVerfasst am: 30. Jun 2001 23:11   Titel: Re: ipchains iptables

Hallo,

Ich wieder.

Dank an
@Thomas H.
@Ronny Buchmann

Bei mir geht jetzt soweit alles.
Haett noch zwei kleine Fragen.

Muessen noch Module gesetzt werden um den Clients einen vollen Zugriff ueber den Router zu ermoeglichen?
Wie kann ich das ganze automatisieren so dass die Module beim Systemstart geladen werden?
 

prg_tom



Anmeldungsdatum: 21.05.2001
Beiträge: 60
Wohnort: Österreich

BeitragVerfasst am: 02. Jul 2001 8:09   Titel: Re: ipchains iptables

an Boron:
hast du ip_tables modul geladen?
bei suse 7.2 wird standardmäßig noch modul ipchains geladen, die vorher rausschmeißen...

hiTcher:
die module würde ich direkt im firewallskript laden,
also wo auch dann diverse iptables befehle drinn sind.
Das ganze in /etc/init.d kopieren.
Und dann noch vom skript einen soft link in die diverse runlevels ( ordner rc0.d bis rc6.d ).
 
Benutzer-Profile anzeigen Private Nachricht senden

Tobias
Gast





BeitragVerfasst am: 03. Jul 2001 22:41   Titel: Re: ipchains iptables

Wenn ich da mal eine technische Frage anstellen darf:
Die FTP Module machen doch eigentlich nichts anderes als den FTP Port für Zugriffe von außen zu öffnen, oder lieg ich da falsch?
 

Sebastian Ude
Gast





BeitragVerfasst am: 04. Jul 2001 10:34   Titel: Re: ipchains iptables

Nein, die tun etwas mehr.

Manche komplexere Protokolle können nicht ohne weiteres geNATtet werden, deswegen muss ein spezielles Helpermodul in den Kernel geladen werden.

Zitat von http://www.linuxdoc.org/LDP/nag2/x-087-2-masq.kernel.config.html (redet zwar von ipchains und Kernel 2.2, an den technischen Fakten hat sich aber nichts geändert):



In the 2.2 series kernels, a number of protocol-specific helper modules are created during kernel compilation.

Some protocols begin with an outgoing request on one port, and then expect an incoming connection on another.
Normally these cannot be masqueraded, as there is no way of associating the second connection with the first without peering inside the protocols themselves. The helper modules do just that; they actually look inside the datagrams and allow masquerading to work for supported protocols that otherwise would be impossible to masquerade.

 

Beiträge vom vorherigen Thema anzeigen:   
     Pro-Linux Foren-Übersicht -> Netzwerk Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehen Sie zu:  

Powered by phpBB © phpBB Group
pro_linux Theme © 2004 by Mandaxy