Látom az átjáró külső címét, de onnan kifelé már nem látok

Köszi mindenkinek a segítséget, így működik! Most mehet a nagyobb biztonság. Akkor most jön a lényeg! :roll:

Kösz Tray, rövid, de jó doksi!

A 2.4-es kernelt meg majd meglátjuk! Valószínűleg felteszem, s az iptables-t fogom használni. Squid Proxyra és Spamassassinra van valamilyen jó magyar nyelvű leírásod?

Kösz, itt leltem is!

Kedves segítőkész Linuxos társaim!

Egy új Linuxos szervert helyezek üzembe. Ez a szerverátjáróként működne. Van két hálókártyája, egyik belső, a másik külső IP-címmel. Magáról a szerverről kilátok az Internetre, s mindent látok befelé, a belső hálózat felé is, szóval azon mindent meg tudok csinálni. Viszont a belső IP-című kártyára kötött munkaállomásokról nem látok kifelé, nem tudok kifelé pingelni. A neveket és címeket feldolgozza, vagyis ha egy belső munkaállomáson beírom a ping parancsot egy az Interneten lévő akármilyen gép nevével, akkor kiírja annak az IP-címét, de nem kapok választ, kiírja, hogy (request out...). Az érdekes az, hogy az újonnan létrehozott Linuxos átjáró kölső IP-című kártyáját a belső hálózatról látom, tudom pingelni. Tehát az átjárás működik. Viszont onnan kifelé már nem jó. Valamit nem engedélyeztem vagy letiltottam, nem tudom. Mi lehet a hiba oka?

Egy automatikusan elinduló állományban írtam le a csomagszűrést úgy, hogy mindent engedélyezzen, legalábbis próbának, kiindulásnak ezt akartam tenni. Ez a fájl tartalma a következő (természetesen az IP-címek itt most nem valódiak):

#! /bin/sh
echo 1 > /proc/sys/net/ipv4/ip_forward
ipchains -P output ACCEPT
ipchains -P input ACCEPT
ipchains -P forward ACCEPT
ipchains -F input
ipchains -F output
ipchains -F forward
172.16.0.0/255.255.0.0 -j ACCEPT
192.1.1.0/255.255.255.0 -j ACCEPT
ipchains -A input -s 192.1.1.0/24 -d 0.0.0.0/0 -j ACCEPT
ipchains -A input -s 172.16.0.0/16 -d 0.0.0.0/0 -j ACCEPT
ipchains -I forward -s 172.16.0.0/16 -j MASQ -l

Van valakinek ötlete arra, hogy mi lehet a hiba? Nagyon megköszönném.

Köszönöm nektek a gyors segítséget!

Kell a "macskaköröm" az egyes elé és után? Anélkül nincs forward-engedélyezés?

És mi van, ha a kliensek nem linuxok, hanem Windowsok? Ott nem tudok route add default gw 10.0.0.254 parancsot adni. Egyébként az nem elég, ha a route.conf-ba megadom a default értéknek a 10.0.0.254-es címet (nyilván azt, ami az átjáró)?

Az iptables valóban jobb, de 2.2 a rendszermag, s nem akarok még bonyolítani. Ha így megy, akkor esetleg frissítem 2.4-es vagy netán (??) 2.6-osra.

[quote:24f92e0e97="trey"][quote:24f92e0e97="Sea-you"]Szia,

echo "1" > /proc/sys/net/ipv4/ip_forward

soxerencset

Ez benne van a szkriptjebe. Az ipchains -I sor a baromsag benne...

Ezek szerint nem feltétlenül kell a "1", elég a sima 1-es is, ugye? Ha kiszedem azt az I-s sort, akkor jónak kell lennie?

Mit kell alapátjárónak megadnom, ha ezen a Linuxos átjárón kívül van még egy router-eszköz is? Ha annak a címét adom meg, a route.conf-ban, akkor az jó vagy rossz?

A /etc/route.conf-om így néz ki:

127.0.0.0 0.0.0.0 255.255.255.0 lo
192.1.1.0 0.0.0.0 255.255.255.0 eth0
172.16.0.0 0.0.0.0 255.255.0.0 eth1
193.2.2.0 192.1.1.124 255.255.255.0
default 192.1.1.124

A Linuxos gép IP-címei a 172.16.0.1 (belső), és 192.1.1.1 (külső). A szolgáltató router-eszközének címei (kettő külső is van, nem tudom, hogy miért): 192.1.1.124 és 193.2.2.1. (Persze ezek csak kitalált címek, de a lényegen nem változtat).

[quote:b941fac548="antiemes"]Hi!

Windows-nak is tudsz default gw-t adni, csak mashogy kell. :D
A halozati beallitasoknal van egy olyan ful, hogy atjaro. Na, oda kell beirni az atjaro IP-jet.

By(t)e
TBS::Antiemes

De nem a Windowsra vagyok kíváncsi! :)

Tehát ha a LAN címe 10.0.0.0/24, az átjáró belső címe 10.0.0.1 és a külső címe mondjuk 192.1.1.1, és megadom ezt:

echo 1 >/proc/sys/net/ipv4/ip_forward

ipchains -P forward DENY
ipchains -A forward -j MASQ -s 10.0.0.0/24

akkor a munkaállomáson csak megadom az átjárónak a belső címét, vagyis a 10.0.0.1-et, akkor már látom is a külvilágot, igaz?

Az "ipchains -I forward -s 172.16.0.0/16 -j MASQ -l" sort úgy ajánlották. Hogyan tudom lekérdezni, hogy jó-e az ipchains beírásai? Ha az "ipchains -L"-t beírom, azt írja, ACCEPT az input, az output és a forward. A többiről miért nem ír semmit?

[quote:2cc499ee60="antiemes"]Hi!

Igen. Meg persze a megfelelo maskot is be kell allitani.

Egyebkent meg szerintem kerdezted a wint is, ugyhogy nem tudom, hogy ezt:

De nem a Windowsra vagyok kíváncsi!

miert irtad.

By(t)e
TBS::Antiemes

Nyilván a hálózati maszk is kell. De a Windowst jól beállítottam, csak ezért nem vagyok rá kíváncsi: itt a fórumon Unix van. ;-)

Szerinted a többi sor egyébként jó? Azt a hurka -I-set kiszedem, s helyette beteszem a "ipchains -A forward -j MASQ -s 10.0.0.0/24" sort (persze más címmel). Úgy jó lesz, igaz? Csak szombaton tudom kipróbálni.

Ja, és köszi a segítséget!