Re: iptables Skript

From: Kevin Price <KevinP_at_web.de>
Date: Wed, 22 Nov 2006 07:56:22 +0100

Hi,

wenn Du keine statische IP hast, ist es besser statt SNAT lieber MASQUERADE zu
verwenden. Auszug aus man (8) iptables:

   MASQUERADE
       This target is only valid in the nat table, in the POSTROUTING chain.
       It should only be used with dynamically assigned IP (dialup) connec-
       tions: if you have a static IP address, you should use the SNAT tar-
       get. Masquerading is equivalent to specifying a mapping to the IP
       address of the interface the packet is going out, but also has the
       effect that connections are forgotten when the interface goes down.
       This is the correct behavior when the next dialup is unlikely to have
       the same interface address (and hence any established connections are
       lost anyway). It takes one option:

       --to-ports port[-port]
              This specifies a range of source ports to use, overriding the
              default SNAT source port-selection heuristics (see above).
              This is only valid if the rule also specifies -p tcp or -p udp.

Wenn ich solche Skripte schreibe, steht da also meist drin:

iptables -tfilter -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS
--clamp-mss-to-pmtu
iptables -tnat -A POSTROUTING -j MASQUERADE

Die obere Zeile dient dazu, die MTU auch für die Rechner hinter dem NAT zu
begrenzen auf die der Schnittstelle minus 40. Siehe selbe manpage.

MfG
  Kevin

Oliver Gerlich schrieb:
> Christoph Sandhaus schrieb:
>
>>>Hallo mal wieder,
>>>
>>>erneut eine Bitte:
>>>da ich doch gerne wieder online sein möchte - nicht nur über remote Logins und langsamen X11Forwarding - könnte mir bitte jemand ein iptables Skript erstellen? Es soll folgende Bedingungen erfüllen:
>>>
>>>- alles, was nicht von ppp0 kommt, akzeptieren
>>>- alle auf eth0 eingehenden Pakete per NAT an ppp0 weiter leiten, sofern nicht für den Server selberl bestimmt
>>>- Masquerading erwünscht
>>>
>>>
>>>Ich habe nun mein Netzwerk - wieder einmal - umgestellt und versuche es nun auf einfache Art und Weise:
>>>
>>>- der Server hat 2 LAN NICs eth0, eth1
>>>- an eth1 hängt das DSL Modem
>>>- über eth0 ist das lokale Netwerk (192.168.11.0/24) erreichbar
>>>- Alle Rechner im Netz sollen den Server nur als Default Gateway eintragen müssen
>>>
>>>So leid es mir tut, aber selbst mit Webmin ist es mir nicht gelungen, diese Regeln aufzustellen. Wenn ich erstmal wieder online bin, kann ich auch googeln und mich schlau machen.
>>>
>>>In der resolv.conf habe ich vorerst den DNS von meinem Provider statisch eingetragen. Ein DNS Server ist dann Zukunftsmusik, wenn erstmal alles wieder läuft.
>>>
>>>Wirklich vielen Dank für eure Hilfe,
>>>Viele Grüße vom doch bereits etwas entnervten,
>>>Christoph
>>>
>>>
>
>
> Hallo,
>
> anbei ist ein forwarding-Skript, welches Forwarding-Regeln einrichtet,
> um Pakete zwischen einem LAN-Interface und einem Internet-Interface zu
> vermitteln. Das hab ich für Qemu verwendet, und da gings wohl so ganz
> gut. In Deinem Fall müsstest Du wohl nur "./forwarding.sh ppp0 eth0"
> ausführen (ich geh mal davon aus, daß nach der Modemeinwahl ppp0
> bereitsteht und Du nicht direkt eth1 verwendest).
>
> Das LAN selbst funktioniert doch, oder? Also Deine Rechner können sich
> problemlos anpingen?
>
> Auf die Dauer kann ich ansonsten Dir Shorewall empfehlen - ich hab hier
> auch so einen Router-PC mit zwei NICs stehen, und für sowas gibts schon
> eine gute Beispiel-Konfig; wenn alles läuft, kann man sich nach halt
> zusätzliche Port-forwarding-Regeln und sowas einrichten. Und als
> DNS-Server ist dnsmasq ganz nett (lief bei mir mit der Default-Konfig
> schon sehr gut, und bringt auch noch einen DHCP-Server mit).
>
> Grüße,
> Oliver

-- 
http://counter.li.org/cgi-bin/runscript/display-person.cgi?user=214656
http://www.amazon.de/gp/registry/wishlist/1STJFWXVXM083/  ICQ#75570407

Received on Wed Nov 22 2006 - 07:56:22 CET

This archive was generated by hypermail 2.2.0 : Wed Nov 22 2006 - 07:56:32 CET