ipforwarding

Linux-kezdő

ipforwarding

  • 481 megtekintés

( Willow | 2005. 01. 26., sze – 09:59 )

Suse 9.2 +updatetolva Yaston keresztül a rendszer.

2 hálókártya van benne.
Valamiért nem megy az ipforwarding.
a kártyáknál be van pipálva az ipforwarding
és a tűzfal scriptben is benne van az echo "1" > .... parancs.
nem a láncokban van a hiba, azt már probáltam, hogy teljesen lebutítom ill. a logban sem voltak bene, hogy dobta volna a csomagokat.

Lenne valakinek ötlete?
hogy lehetne megnézni, hogy tényleg ez a hiba?
(a kernel forrása nincs fent a gépen)

( djula | 2005. 01. 26., sze – 10:05 )

Pontosan milyen ipforwardot szeretnel? Kernelben bennevannak a kello dolgok? iptables -L mit mond?

( Willow | 2005. 01. 26., sze – 10:33 )

tűzfalnak használnám a gépet. 2 hálókártya van benne és a kettő közötti átmenetet szertném.(úgy tudom ez az ipforward)
Mint irtam a kernel-t nem én fordítottam és nincs fent a forrása(menuconfig).
iptables -L-nek mit kellene mondania?
most éppen nincsenek benne szabályok, mivel elsőnek ezt gondoltam, hogy biztos ezt rontottam el. mind három policy ACCEPT

( djula | 2005. 01. 26., sze – 10:43 )

Ha jol sejtem neked Masquerade kell.
iptables -t nat -A POSTROUTING -p TCP -s 192.168.1.0/24 -j MASQUERADE
Probalj egy ilyet, ertelemszeruen az ip tartomany az legyen, ami a belso (tuzfal mogotti) halozatod. Ha nem forditottal kernelt, elkepzelheto, hogy alapbol nincs benne NAT. Ez ki fog derulni :)
Ha tudsz angolul es szeretsz olvasni:
http://www.faqs.org/docs/iptables/
http://en.tldp.org/HOWTO/IP-Masquerade-HOWTO/

( Willow | 2005. 01. 26., sze – 10:51 )

Miért épp MASQUERADE kell?
fix ip címem van.
$IPTABLES -t nat -A POSTROUTING -s $NET_INT -o $IFACE_EXT -j SNAT --to-source $IP_EXT
én ezt írtam be.
$net_int a belső háló
$iface_ext a kulso hálókártya
$ip_ext a külső kártya cime.
nem jó?
vagy mind kettő kell?
úgy olvastam, hogy v. egyik v. másik.

hogy tudhatom meg, hogy a kernelben benne van.

( djula | 2005. 01. 26., sze – 11:08 )

Azert kell Masquerade, hogy a kapcsolatokban a visszajovo csomagok oda keruljenek, ahova kell, mivel ugye ez azt csinalja, hogy a belso halozat felol jovo ip cimeket atirja a kulso ipre, es megjegyzi egy tablaban, hogy honnan hova ment. SNAT szerintem csak atirja a forras ip-t a kulso cimedre.

( kaltsi | 2005. 01. 26., sze – 11:15 )

echo "Rule 0(NAT)"
#
# Service LAN NAT
iptables -t nat -A POSTROUTING -o ethx -s LAN_IP/Y -j SNAT --to-source WAN_IP

ethx: az az interface ahova a net van kötve
LAN_IP: belső hálózati cím pl: 192.168.0.0/24
WAN_IP: az internetes láb IP címe

A LAN gépeken a gateway a LAN kártya IP-je lesz.

( Willow | 2005. 01. 26., sze – 11:35 )

én nem így csináltam?
ez szerintem rendbe is van, de mégsem mükszik nálam.
bootoláskor kiírja , hogy ip forwarding done.
De még sem megy.

( djula | 2005. 01. 26., sze – 11:47 )

Az semmit nem jelent, hogy kiirja.
Ha kezzel beirod azt az iptables sort, arra mit mond?
iptables -L -re meg ott kene lenni egy szabalynak.

( Willow | 2005. 01. 26., sze – 13:31 )

ok , most már működik.
primitiv hiba volt, ezért nem is találtam meg.
lemaradtak az idéző jelek 3 helyen.
a kód jó volt logikailag, ezért nem vettem észre az iptables meg nem szólt semmit.
Meg a nagy probálgatásokban felcserélődött egy,s más.

De van új kérdésem.
A forward láncnál mit érdemes megadni, hogy csak belülről kifelé lehessen?
interface v. source illetve ha csak bizonyos portot szeretnék, akkor dport .v sport-ot adjam meg?