Masquerading geht nicht...

Alfons2 · 30 März 2009

Hallo Leute...

Ich hoffe ihr könnt mir helfen...
Seit jetzt inzwischen 2 Monaten bin ich dabei Masquerading auf meinem OpenSuse 11 Rechner zu aktivieren. Ich habe gehört das auch Routing dabei eine Rolle spielt...
Zunächst wollte ich Freunde/Bekannte/Verwandte fragen ob sie sich damit auskennen, jedoch sind diese alle professionelle Linux-Hasser. Sodass ich dass in die Tonne treten konnte.
Als nächstes bin ich ins Internet gegangen, um mir dort Rat zu holen. Ich habe mir verschiedene Threads durchgelesen und alles so gemacht wie es da stand, (evtl. etwas angepasst wie Device oder IP)
Da es dann immer noch nicht funktionierte habe ich selber Threads erstellt... Aber leider war keiner in der Lage mir zu helfen...

Hier ein paar Threads wo ich war:

Code:

http://www.linux-club.de/viewtopic.php?f=15&t=15624
http://www.linux-club.de/viewtopic.php?f=15&t=44
http://www.tecchannel.de/server/linux/402532/die_suse_firewall/index6.html
http://www.tutorials.de/forum/linux-unix/233396-suse-10-susefirewal2-masquerading.html
http://forum.fachinformatiker.de/linux-unix/51524-suse-8-2-masquerading.html
Das sind nur einige Seiten...

Zur Zeit sieht es so aus

eth0: Internet - 10.38.64.7
eth1: Lokal - 192.168.0.1 <-- Da soll das Internet hin!

Wenn ihr Logs, Ausgaben oder Datei-Inhalte braucht, fragt einfach jedoch ist hier schonmal die
iptables -L

Code:

Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere            state ESTABLISHED
ACCEPT     icmp --  anywhere             anywhere            state RELATED
input_int  all  --  anywhere             anywhere
input_ext  all  --  anywhere             anywhere
input_ext  all  --  anywhere             anywhere
LOG        all  --  anywhere             anywhere            limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-IN-ILL-TARGET '
DROP       all  --  anywhere             anywhere

Chain FORWARD (policy DROP)
target     prot opt source               destination
TCPMSS     tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
forward_int  all  --  anywhere             anywhere
forward_ext  all  --  anywhere             anywhere
LOG        all  --  anywhere             anywhere            limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-FWD-ILL-ROUTING '
DROP       all  --  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere            state NEW,RELATED,ESTABLISHED
LOG        all  --  anywhere             anywhere            limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-OUT-ERROR '

Chain forward_ext (1 references)
target     prot opt source               destination
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp echo-reply
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp destination-unreachable
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp time-exceeded
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp parameter-problem
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp timestamp-reply
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp address-mask-reply
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp protocol-unreachable
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp redirect
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
LOG        tcp  --  anywhere             eumex.ip            limit: avg 3/min burst 5 tcp dpt:spr-itunes state NEW LOGlevel warning tcp-options ip-options prefix `SFW2-FWDext-ACC-REVMASQ '
ACCEPT     tcp  --  anywhere             eumex.ip            tcp dpt:spr-itunes
ACCEPT     tcp  --  eumex.ip             anywhere            state RELATED,ESTABLISHED
LOG        tcp  --  anywhere             eumex.ip            limit: avg 3/min burst 5 tcp dpt:http state NEW LOG levelwarning tcp-options ip-options prefix `SFW2-FWDext-ACC-REVMASQ '
ACCEPT     tcp  --  anywhere             eumex.ip            tcp dpt:http
ACCEPT     tcp  --  eumex.ip             anywhere            state RELATED,ESTABLISHED
LOG        all  --  anywhere             anywhere            limit: avg 3/min burst 5 PKTTYPE = multicast LOG level warning tcp-options ip-options prefix `SFW2-FWDext-DROP-DEFLT '
DROP       all  --  anywhere             anywhere            PKTTYPE = multicast
LOG        tcp  --  anywhere             anywhere            limit: avg 3/min burst 5 tcp flags:FIN,SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SFW2-FWDext-DROP-DEFLT '
LOG        icmp --  anywhere             anywhere            limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-FWDext-DROP-DEFLT '
LOG        udp  --  anywhere             anywhere            limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-FWDext-DROP-DEFLT '
LOG        all  --  anywhere             anywhere            limit: avg 3/min burst 5 state INVALID LOG level warning tcp-options ip-options prefix `SFW2-FWDext-DROP-DEFLT-INV '
DROP       all  --  anywhere             anywhere

Chain forward_int (1 references)
target     prot opt source               destination
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp echo-reply
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp destination-unreachable
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp time-exceeded
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp parameter-problem
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp timestamp-reply
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp address-mask-reply
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp protocol-unreachable
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp redirect
ACCEPT     all  --  anywhere             anywhere            state NEW,RELATED,ESTABLISHED
LOG        tcp  --  anywhere             eumex.ip            limit: avg 3/min burst 5 tcp dpt:spr-itunes state NEW LOGlevel warning tcp-options ip-options prefix `SFW2-FWDint-ACC-REVMASQ '
ACCEPT     tcp  --  anywhere             eumex.ip            tcp dpt:spr-itunes
ACCEPT     tcp  --  eumex.ip             anywhere            state RELATED,ESTABLISHED
LOG        tcp  --  anywhere             eumex.ip            limit: avg 3/min burst 5 tcp dpt:http state NEW LOG levelwarning tcp-options ip-options prefix `SFW2-FWDint-ACC-REVMASQ '
ACCEPT     tcp  --  anywhere             eumex.ip            tcp dpt:http
ACCEPT     tcp  --  eumex.ip             anywhere            state RELATED,ESTABLISHED
LOG        all  --  anywhere             anywhere            limit: avg 3/min burst 5 PKTTYPE = multicast LOG level warning tcp-options ip-options prefix `SFW2-FWDint-DROP-DEFLT '
DROP       all  --  anywhere             anywhere            PKTTYPE = multicast
LOG        tcp  --  anywhere             anywhere            limit: avg 3/min burst 5 tcp flags:FIN,SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SFW2-FWDint-DROP-DEFLT '
LOG        icmp --  anywhere             anywhere            limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-FWDint-DROP-DEFLT '
LOG        udp  --  anywhere             anywhere            limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-FWDint-DROP-DEFLT '
LOG        all  --  anywhere             anywhere            limit: avg 3/min burst 5 state INVALID LOG level warning tcp-options ip-options prefix `SFW2-FWDint-DROP-DEFLT-INV '
reject_func  all  --  anywhere             anywhere

Chain input_ext (2 references)
target     prot opt source               destination
ACCEPT     udp  --  anywhere             anywhere            PKTTYPE = broadcast udp dpt:bootps
ACCEPT     udp  --  anywhere             anywhere            PKTTYPE = broadcast udp dpt:bootps
DROP       all  --  anywhere             anywhere            PKTTYPE = broadcast
ACCEPT     icmp --  anywhere             anywhere            icmp source-quench
ACCEPT     icmp --  anywhere             anywhere            icmp echo-request
ACCEPT     esp  --  anywhere             anywhere
LOG        tcp  --  anywhere             anywhere            limit: avg 3/min burst 5 tcp dpt:5801 flags:FIN,SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SFW2-INext-ACC-TCP '
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:5801
LOG        tcp  --  anywhere             anywhere            limit: avg 3/min burst 5 tcp dpt:5901 flags:FIN,SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SFW2-INext-ACC-TCP '
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:5901
LOG        tcp  --  anywhere             anywhere            limit: avg 3/min burst 5 tcp dpt:domain flags:FIN,SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SFW2-INext-ACC-TCP '
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:domain
LOG        tcp  --  anywhere             anywhere            limit: avg 3/min burst 5 tcp dpt:mysql flags:FIN,SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SFW2-INext-ACC-TCP '
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:mysql
ACCEPT     udp  --  anywhere             anywhere            udp dpt:domain
ACCEPT     udp  --  anywhere             anywhere            udp dpt:ipsec-nat-t
ACCEPT     udp  --  anywhere             anywhere            udp dpt:isakmp
ACCEPT     udp  --  anywhere             anywhere            udp dpt:bootps
ACCEPT     udp  --  anywhere             anywhere            udp dpt:bootps
LOG        all  --  anywhere             anywhere            limit: avg 3/min burst 5 PKTTYPE = multicast LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT '
DROP       all  --  anywhere             anywhere            PKTTYPE = multicast
LOG        tcp  --  anywhere             anywhere            limit: avg 3/min burst 5 tcp flags:FIN,SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT '
LOG        icmp --  anywhere             anywhere            limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT '
LOG        udp  --  anywhere             anywhere            limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT '
LOG        all  --  anywhere             anywhere            limit: avg 3/min burst 5 state INVALID LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT-INV '
DROP       all  --  anywhere             anywhere

Chain input_int (1 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere

Chain reject_func (1 references)
target     prot opt source               destination
REJECT     tcp  --  anywhere             anywhere            reject-with tcp-reset
REJECT     udp  --  anywhere             anywhere            reject-with icmp-port-unreachable
REJECT     all  --  anywhere             anywhere            reject-with icmp-proto-unreachable

Die ist irgendwie so groß... Muss das so? Bei den anderen ist die nur ein paar Zeilen.

Tooltime · 31 März 2009

http://www.linux-club.de/viewtopic.php?f=15&t=101288&p=619487&hilit=Masquerading#p619487

Alfons2 schrieb:
Die ist irgendwie so groß... Muss das so? Bei den anderen ist die nur ein paar Zeilen.

Gute Frage, wer macht so etwas und warum? Für meinen Geschmack sind dort viel zu viele Dienste frei gegeben. Einem Anfänger auf dem Gebiet rate ich möglichst nur mit YaST die wirklich notwendigen Dienste frei zu geben.

Alfons2 · 31 März 2009

Danke dir erstmal, werde es heute Nachmittag mal ausprobieren.

Ich wollte es am Anfang ja auch mit Yast machen, aber es haben alle gesagt, ne mach es mit der Konsole :???:

Also der lange Text da unten ist nicht gut oder?

Tooltime · 31 März 2009

Alfons2 schrieb:
Also der lange Text da unten ist nicht gut oder?

Richtig, es sei denn du sagst einige spezielle Dienste benötigen diese Einstellungen. Normaler Weise sehen die iptables so aus. Wenn du nicht weißt warum diese Regeln dar sind, dann bring die Firewall erst einmal wieder in die Grundeinstellung zurück.

Alfons2 · 31 März 2009

Okay, vielen dank erstmal!

Ich kann wahrscheinlich frühstens heute Abend es nochmal probieren, weil ich gleich wieder zur Arbeit muss

Alfons2 · 1 Apr. 2009

Es geht immer noch nicht

Ich habe bei "Masquerading für Netzwerke" unter Yast2 ; Firewall Masquerading und bei
IP-Weiterleitung unter Yast2 ; Netzwerkeinstellungen ; Routing einen Haken gemacht.
Ich habe den IP-Bereich ein bischen geändert, der Suse-Server hängt mit dem Client nun in
192.168.2.*
255.255.255.0

Bei dem Client habe ich als Gateway die IP des Suse-Servers (192.168.2.1) angegeben und unter DNS die IP unseres Routers (10.38.64.1).

In die Routing- und Masqueradingtabelle habe ich noch nichts eingetragen. Muss da was rein? Wenn ja was? Wenn nicht? Warum geht es immer noch nicht?

framp · 1 Apr. 2009

Poste mal die Ausgabe von

Code:

cat /etc/sysconfig/SuSEfirewall2 | grep -v "#" | grep -v "$"

Alfons2 · 1 Apr. 2009

Alles klar es geht jetzt!

Der DNS-Service vom Client war defekt...

Ich kam nicht ins Internet, ich konnte zwar alle anpingen die im Netzwerk sind, aber nun geht es wieder.

Da muss man erstma drauf kommen

framp · 1 Apr. 2009

Fein. Damit ist Dein Problem gelöst. Nun kommt noch der Papierkram :roll: Hast Du schon den Thread Bitte gelöste Threads auf [gelöst] setzen gelesen :wink:

?

Masquerading geht nicht...

Alfons2

Tooltime

Alfons2

Tooltime

Alfons2

Alfons2

framp

Moderator

Alfons2

framp

Moderator