iptables dsl probléma

Debian GNU/Linux

Üdv!

Következő probléma ügyében kerestem meg a nagyérdeműt.
Adott egy frissen felhúzott Debian SARGE –os gép(kernel:2.4.27-). Két hálókártya eth0 (192.168.0.10/ lokális háló) eth1(192.168.0.11/ ADSL)
A nettet sikerült belőnöm a gépen.

/proc/sys/net/ipv4/ip_forward tartalama: 1

Elvileg az iptables-t is belőttem :

Iptables –t nat –A POSTROUTING –o eth1 –l MASQUERADE
Iptables –A FORWARD –i eth1 –o eth0 –m state –state RELATED,ESTABLISHED –j ACCEPT
Iptables –A FORWARD –i eth0 –o eth1 –j ACCEPT

iptables -L#
"
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination”

A kliens gépeken beállítottam amit kell, és ennek ellenéresem tudot pingelni egyetlen egy internetes címet sem kliens oldalról.

Minden tippet, ötletet nagyon köszönök!

  • 1839 megtekintés

( Zpanik | 2006. 07. 19., sze – 11:50 )

Iptables –t nat –A POSTROUTING –o eth1 –l MASQUERADE a sor szerinteh:
Iptables –t nat –A POSTROUTING –o eth1 –j MASQUERADE

Az Internet Routerbe van kötve?

( rigidus | 2006. 07. 19., sze – 14:28 )

Annak igy kene kinezni:
iptables –t nat –A POSTROUTING –o ppp0 –j MASQUERADE
---------------------
Ригидус а бетегадьбол

Nah köszi, ez már fél siker most már "csak" a névfeloldás a rossz mert ip-t remekül tudok pingelni.
Hova kell megadni a változásokat a route táblába h újraindítás után ne törlődjön az egész? jelenlegi állapot:
:~# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
lo1.esr0-szente * 255.255.255.255 UH 0 0 0 ppp0
localnet * 255.255.255.0 U 0 0 0 eth0
localnet * 255.255.255.0 U 0 0 0 eth1
default lo1.esr0-szente 0.0.0.0 UG 0 0 0 ppp0

mit kéne ezen faragni, h belsőhálóról is legyen névfeloldások előreis thx

Fedorán

az /etc/sysctl.conf-ban:

net.ipv4.ip_forward=1

megadásával perzisztens lesz ez a rendszerparaméter. Gondolom Debian-on is valami hasonlót kell elkövetni.
Itt a

sysctl -a

paranccsal ki lehet listázni a runtime kernel paramétereket. Az itt megjelenő formátum szerint a sysctl.conf-ban megadott dolgok reboot után is megmaradnak.

Egyébként meg: man sysctl, man sysctl.conf

Üdv,
t

ok thx ezistis megoldottam az elöbb írtamrá egy scriptet nem a legelegánsabb megoldás, de működik és ez a lényeg. Viszont az **** névfeloldást még mindig nem igazán tudom megcsinálni.
reboot után ha felcsatlakoztam adsl-re akkor a route parancs kiadása után vár 1 percet kb és csak utána listáz, ha kiszdem a deft (route del default), és újraconnectálok akkor megy a névfeloldás de csak a"serveren" a klienseken még mindig nem.

Ezen valszeg semmit sem.

Ha pingelni tudsz kifele, akkor a routing jó.
A klienseden kellene konfigurálni a DNS szerver IP címeket.
Gondolom ezt a szolgáltató adja.

Ha van a szervereden DNS a helyi névfeloldásra, akkor ott meg lehet neki adni, hogy milyen külső DNS szervereknek adja tovább a nevet, ha ő nem tudja feloldani.
Ezt nálam Fedorán

named használata esetén az /etc/named.conf-ban kell megadni:
az

options{ .... } szekción belül:

options{
...
forwarders{ ISP_DNS_IP1; ISP_DNS_IP2; };
...
}

Ha Debianon is named-et használsz, akkor valami hasonló neve lesz a konfig fájlnak. Lehet, hogy nem is az /etc alatt lesz. Itt is a /var/named/chroot/etc/named.conf az igazi helye, az /etc/named.conf csak egy link rá.

Üdv,
t

Ha nem akarsz DNS szerverrel bohóckodni, akkor router masinádon, miután feléledt az ADSL, nézd meg az /etc/resolv.conf tartalmát. Ott benne lesz a szolgáltatód által adott DNS szerverek címe:

nameserver ip_cim

Ezeket kéne a klienseiden DNS szerver címnek megadni. Ha megy az ADSL akkor lesz névfeloldásod, ha nem akkor nem.

Kicsit gagyi megoldás, de tűzoltásnak jó.

t

A dns-re van tobbfele megoldas is.

A legegyszerubb, ha a kulso DNS szervereket megadod a belso gepeken is a resolv.conf-ba. Ez akkor ciki, ha mondjuk 50 gepes halozatod van es szolgaltatot valtassz, ami magaval hozza a dns szerver valtast is.

A konnyebb karbantartas miatt, korabban bind9-et hasznaltam, ott a helyi gepeket is felvittem es egyuttal attekinthetobb lett a halozat, pl:
gep1.domain.org 10.0.0.1
gep2.domain.org 10.0.0.2
stb...

A bind DNS forwardersnek meg lettek adva a netszolgaltato dns szerverei, majd a natbox lett beallitva mint dns szerver a kliens gepeken, ami ha belso hostot kap, akkor maga feloldja belso ip-re, ill. ha kulsot akkor kuldi tovabb egy kulso nevfeloldora.

Mondjuk azota mar PowerDNS-t hasznalok bind helyett, nagy megelegedesemre. :-)

---------------------
Ригидус а бетегадьбол

( spectator | 2006. 07. 19., sze – 18:08 )

Ha Debianod van, akkor apt-get install bind9 a routeren.
Semmit nemkell konfigolni, alapertelmezetten egy caching-only DNS szerver lesz belole, es a kliens elosokorben ugyis a routert fogja nyaggatni DNS-sel...vagy ha megse, akkor IMHO a legjobb megoldas a dhcp-szerver, es akkor nem kell szenvedni uj gepnel sem. Ha kell kuldok minta dhcp-konfigot.

"apt-get install bind9 a routeren."

ez megoldást jelentett az én hónapos problémámra is.

nem tudtam pingelni a myip.hu-t, ezt abból a szempontból probléma, hogy a vpn kapcsolat ip váltás után nem jön létre (ADSL), mert a script nem tud ip-t frissíteni.

---------------------------------------------------------------------
„Az Univerzum már elég nagy és öreg ahhoz, hogy egy fél óráig vigyázzon magára.”