Masquerading mit Suse7.1

Das Forum für den Linux-Pinguin - auch andere Unix-Derivate (*BSD, (Open)Solaris, Apple's Darwin / MacOS X, ...) sind hier willkommen!
Forumsregeln
Das Forum für den Linux-Pinguin - auch andere Unix-Derivate (*BSD, (Open)Solaris, Apple's Darwin / MacOS X, ...) sind hier willkommen!

RE: nachtrag

Beitragvon quay » Do 07 Jun, 2001 14:54

hmm...mein fehler......habs grad ausprobiert,auf eth0 zeigt er bei mir auch nur die communication mit dem modem an......

probiers mit tcpdump -i ppp0 und sieh nach ob requests für www.max.at rausgehen......bzw. ob antworten zurückkommen...

--quay
quay
 

RE: nachtrag

Beitragvon Manuel Capellari » Do 07 Jun, 2001 15:23

>>"192.168.0.2/32 ???? sollte wohl eher /24 stehen"
>wieso ?.....32 stimmt.....alles was von seinem client rechner kommt wird gemasqued.....er hat ja nur 1..

wieso ??? ganz einfach weil /32 die subnet 255.255.255.255 wäre, er das device mit 192.168.0.2 aber auf 255.255.255.0 gebunden hat ...

oder hab ich da irgendwas verpasst ???
Manuel Capellari
 

RE: nachtrag

Beitragvon Tom » Do 07 Jun, 2001 16:46

hi

damit ich es auch kappier:
mit der zeile: ipchains -P forward DENY dürfte wohl stimmen...
nur mit der zweiten zeile *HILFE**g* muss es 192.168.0.1 oder 192.168.0.2
bzw. /32 /24 ???? *schluchtz* ??????
ok tcpdump -i ppp0 hab ich auch ausprobiert nur tut sich leider nix (listening, listening usw), ich kann am client 100x www.max.at eingeben, nur wenn ich am server selbst irgendwohin surf spielt der befehl verrückt und spuckt massenhaft zeilen aus.
aber wenn ich sag: ipchains -P forward ACCEPT
und am client z.b: www.max eingebe, und ppp0 mir anschau kommt folgendes:
linux:~ # tcpdump -i ppp0
Kernel filter, protocol ALL, datagram packet socket
tcpdump: listening on ppp0
17:42:19.200942 192.168.0.2.nimreg > dora.ins.at.domain: 29+ A? www.max.at. (28)
17:42:19.202626 adsl-125233.customers.ins.at.1153 > minerva.ins.at.domain: 46550+ PTR? 75.96.152.194.in-addr.arpa. (44)
17:42:19.248327 minerva.ins.at.domain > adsl-125233.customers.ins.at.1153: 46550* 1/2/2 PTR dora.ins.at. (160)
17:42:19.248760 adsl-125233.customers.ins.at.1153 > minerva.ins.at.domain: 46551+ PTR? 2.0.168.192.in-addr.arpa. (42)
17:42:20.200013 192.168.0.2.nimreg > dora.ins.at.domain: 29+ A? www.max.at. (28)
17:42:22.203109 192.168.0.2.nimreg > dora.ins.at.domain: 29+ A? www.max.at. (28)
17:42:24.206267 192.168.0.2.nimreg > minerva.ins.at.domain: 29+ A? www.max.at. (28)
17:42:24.206316 192.168.0.2.nimreg > dora.ins.at.domain: 29+ A? www.max.at. (28)
17:42:24.255941 adsl-125233.customers.ins.at.1154 > dora.ins.at.domain: 46551+ PTR? 2.0.168.192.in-addr.arpa. (42)
17:42:24.293186 dora.ins.at.domain > adsl-125233.customers.ins.at.1154: 46551 NXDomain* 0/1/0 (124)
17:42:24.294338 adsl-125233.customers.ins.at.1154 > minerva.ins.at.domain: 46552+ PTR? 72.96.152.194.in-addr.arpa. (44)
17:42:24.351641 minerva.ins.at.domain > adsl-125233.customers.ins.at.1154: 46552* 1/2/2 PTR minerva.ins.at. (160)
17:42:24.352105 adsl-125233.customers.ins.at.1154 > minerva.ins.at.domain: 46553+ PTR? 233.125.152.194.in-addr.arpa. (46)
17:42:24.379711 minerva.ins.at.domain > adsl-125233.customers.ins.at.1154: 46553* 1/2/2 PTR adsl-125233.customers.ins.at. (185)
17:42:28.212432 192.168.0.2.nimreg > minerva.ins.at.domain: 29+ A? www.max.at. (28)
17:42:28.212484 192.168.0.2.nimreg > dora.ins.at.domain: 29+ A? www.max.at. (28)
17:42:36.215223 192.168.0.2.1060 > dora.ins.at.domain: 30 PTR? 1.0.0.127.in-addr.arpa. (40)
17:42:37.216563 192.168.0.2.1060 > dora.ins.at.domain: 30 PTR? 1.0.0.127.in-addr.arpa. (40)
17:42:38.218026 192.168.0.2.1060 > dora.ins.at.domain: 30 PTR? 1.0.0.127.in-addr.arpa. (40)
hhmmm
leider wieder mit der gleichen meldung (suchseite konnte nicht geöffnet werden),, es scheint so als könnte ich anfragen machen nur zurück kommt nichts.....
mfg
tom
Tom
 

RE: nachtrag

Beitragvon quay » Do 07 Jun, 2001 16:55

schon mal versucht vom client aus eine ip adresse im internet zu pingen ?
quay
 

RE: nachtrag

Beitragvon Manuel Capellari » Do 07 Jun, 2001 16:58

also dem tcpdump output zu schliessen, kann man davon ausgehen, dass der zukünftige router im www is

mach mal ping auf die ip adresse deines nameservers
Manuel Capellari
 

RE: nachtrag

Beitragvon Tom » Do 07 Jun, 2001 17:03

hi

ping 194.152.96.72 ok
ping 194.152.96.72 ok

mfg
tom
Tom
 

RE: nachtrag

Beitragvon Manuel Capellari » Do 07 Jun, 2001 17:07

>ping 194.152.96.72 ok
>ping 194.152.96.72 ok
super im www bist amal, kann also ned sowas gravierendes sein (hab ich gestern auch schon gesagt oder ???)

werden namen auch aufgelöst ? ping mal z.b. www.heise.de
Manuel Capellari
 

RE: nachtrag

Beitragvon Tom » Do 07 Jun, 2001 17:12

ne vom client aus kann ich nicht ins www pingen und leider auch keine dns server pingen
es geht nur 192.168.0.1 und die 10.0.0.140, 10.0.0.138 (Zeitüberschreitung der Anforderung)

mfg
tom
Tom
 

wie versprochen ...

Beitragvon Manuel Capellari » Do 07 Jun, 2001 17:12

<HTML>... ein masquerading script für 2.2.x
---cut here---
#!/bin/sh
echo "Setting up IP masquerading ..."
# Wer dieses Skript unter Windows abgespeichert hat, muß es erst
# in eine UNIX Textdatei konvertieren!
#
# IP-Masquerading für ftp aktivieren
/sbin/modprobe ip_masq_ftp
#
#--------------
# N.B.: Die folgenden Module sind auskommentiert, werden also nicht
# geladen. Um die jeweiligen Anwendungen vom LAN aus nutzen zu können,
# muß man das Kommentarzeichen am Zeilenanfang entfernen.
#
# IP-Masquerading für RealAudio via UDP
/sbin/modprobe ip_masq_raudio
#
# IP-Masquerading für IRC DCC file transfers
/sbin/modprobe ip_masq_irc
#
# IP-Masquerading für Quake und QuakeWorld
# Quake I / QuakeWorld (Ports 26000 und 27000)
/sbin/modprobe ip_masq_quake
#
# Quake I/II/III / QuakeWorld (Ports 26000, 27000, 27910, 27960)
/sbin/modprobe ip_masq_quake ports=26000,27000,27910,27960
#
# IP-Masquerading für CuSeeme
/sbin/modprobe ip_masq_cuseeme
#
# IP-Masquerading für ICQ (benötigt spezielles masquerading modul)
/sbin/modprobe ip_masq_icq
#--------------
# Wichtig: IP Forwarding aktivieren. Der Default bei 2.2.x Kerneln
# ist 'disabled'!
echo "1" > /proc/sys/net/ipv4/ip_forward
#
#
/sbin/ipchains -P forward DENY
/sbin/ipchains -A forward -s 192.168.0.0/24 -j MASQ
---cut here---</HTML>
Manuel Capellari
 

RE: nachtrag

Beitragvon Tom » Do 07 Jun, 2001 17:14

sorry missverständnis
die dns server kann ich nur vom linux rechner pingen
Tom
 

SUPER

Beitragvon Tom » Do 07 Jun, 2001 17:37

ohhhh JJAAAAAAAAAAA

danke manuel und quay es funktioniert !!!!
jaja ip_forwarding hab ich vorher schon mit yast aktiviert....
nur noch ein paar fragen zu dem script...

1) hab mich ja schlau gemacht der befehl modprobe integriert ja module in den kernel oder??
wenn ja warum hab ich diese module in /sbin ,, sind die standard bei suse?
also module für quake usw. hört sich doch ausgefallen an....
2) das modul (falls es eines ist *g*) ICQ vorher bekomme ich das ??
will ich auch benutzen *g*
3) wenn ich das richtig verstanden habe werden ja unter masquerading bestimmte bzw. alle ports über den ppp=vpn adapter (hoffe ich *g*) geöffnet (also quasi nach aussen ins netz offen)
so nun zur frage *lach*: welche ports sind offen (alle ???)
bzw. 4) wie kann ich einfache filterregeln setzen (also quasi ne firewall *g*)
5) /sbin/ipchains -A forward -s 192.168.0.0/24 -j MASQ
was bedeutet 192.168.0.0/24 genau???
6) die dümmste frage: wie kann ich pptp dazu veranlassen die verbindung zu beenden ohne
linux neu starten zu müssen *g*

nochmals grossen dankeschön an alle!!!!!!!!
mfg
tom
Tom
 

gratuliere :-)

Beitragvon Manuel Capellari » Do 07 Jun, 2001 18:02

<HTML>>1) hab mich ja schlau gemacht der befehl modprobe integriert ja module in den kernel oder??

kommt drauf an, module sind im prinzip nur driver oder funktionen, die bei bedarf geladen und entladen werden können diese funktionen können auch direkt im kernel implementiert werden, das kernel-howto beschreibt das recht gut

>2) das modul (falls es eines ist *g*) ICQ vorher bekomme ich das ??
versuch mal ohne, in der regel müssten durchs ip-forwarding alle internet-dienste auch funktionieren, wenn deren module nicht geladen werden

>3) wenn ich das richtig verstanden habe werden ja unter masquerading bestimmte
es sind nur ports offen auf denen ein service ein listening macht, d.h. wenn du einen webserver laufen hast, wird port 80 offen sein
ein portscan listet dir alle offenen ports auf, hierfür empfehle ich den besten portscanner wo gibt www.insecure.org/nmap
alternativ kannst du auch 'netstat -A inet -a -p' machen, sollte auch schon gute informationen ausspucken

>4) wie kann ich einfache filterregeln setzen (also quasi ne firewall *g*)
einfache filterregeln gibts nicht, aber hierfür kann ich die seite von melanie berg empfehlen www.sekurity.de

>was bedeutet 192.168.0.0/24 genau???
192.168.0.0 bezeichnet das komplette netzwerk mit den IP's 192.168.x.x
das dahinterstehende /24 ist die abkürzung für 255.255.255.0, das lässt sich am einfachsten so erklären:
255.0.0.0 = 8 bit (also 8bit +0bit +0bit +0bit)
255.255.0.0 = 16 bit (also 8bit +8bit +0bit +0bit)
255.255.255.0 = 24 bit (also 8bit +8bit +8bit +0bit)
255.255.255.255 = 32 bit (also 8bit +8bit +8bit +8bit)

die interpretation ist nicht 100 % korrekt, aber ich glaube (hoffe) so isses am verständlichsten

>6) die dümmste frage:
^^^^^^ grundsätzlich gibts keine dummen fragen, nur dumme antworten :-)

>wie kann ich pptp dazu veranlassen die verbindung zu beenden ohne
killall -9 pptp pppd ; [ -e /var/run/pptp/10.0.0.138 ] && rm -f /var/run/pptp/10.0.0.138

das ganze am besten in ein kleines script rein packen ...

bye</HTML>
Manuel Capellari
 

RE: gratuliere :-)

Beitragvon quay » Do 07 Jun, 2001 18:30

icq funkt auch ohne das modul, nur file transfers gehen über masquerading nicht
quay
 

RE: gratuliere :-)

Beitragvon Manuel Capellari » Do 07 Jun, 2001 18:44

es funktioniert alles ohne modul, wenn man reines ip forwarding macht
Manuel Capellari
 

RE: gratuliere :-)

Beitragvon quay » Do 07 Jun, 2001 19:04

achso..na ipforwarding mach ich nicht...nur reines masq.....und da gehts nicht ohne modul...
quay
 

VorherigeNächste

Zurück zu LINUX & UNIX-DERIVATE

Wer ist online?

Mitglieder in diesem Forum: Yandex [Crawler] und 12 Gäste