Linux vermittelt den Internet-Zugang fürs LAN?

Jan-Benedict Glaw jbglaw at lug-owl.de
Sun Aug 29 04:15:13 CEST 1999 

On Sun, Aug 29, 1999 at 01:51:41AM +0200, Andre Landwehr wrote:
> On Sun, Aug 29, 1999 at 12:31:01AM +0200, Michael Liebe wrote:
> > Linux-Rechner:
> > IP: 192.168.1.1 
> > Netmask: 255.255.255.0
> > host: PC1
> > Domain: Morgenbreede (da sitzte ich und lese Howto`s)
> > eth1
> Warum auch immer das bei dir eth1 und nicht eth0 ist... oder hast du eine
> zweite Karte?  sollte aber egal sein.
> 
> > Laptop:
> > IP: 192.168.1.4
> > host: PC4
> > Domain: Morgenbreede
> > Subnet-Mask: 255.255.255.0
> auch ok.
> 
> > Hier habe ich folgendes im Netzwerk konfiguriert:
> > Gateway: 192.168.1.1
> yo, stimmt.
> 
> > Also das Netzwerk funkt soweit. Nur wie schaffe ich es, dass der Linux-Rechner die IP Pakete des Laptop ins Netz befördert.
> > Die Verbindung ins Netz soll mit einem Modem realisiert werden. 
> Das Stichwort heißt Masquerading. Im Kernel von 192.168.1.1 muß IP-Forwarding
> und Firewalling aktiviert sein, außerdem mußt du eine Firewall am Laufen haben
> (ipchains, mit einer einzigen rule: forwarding für alles und jeden)

Fang´ nicht wieder damit an, Scheunentore aufzureißen, die wir schon gestopft
hatten...
Also, es gibt 3 wichtige Regel-Ketten:
1. input:	Diese Kette muß jedes IP-Paket erfolgreich hinter sich
		lassen, wenn es denn überhaupt weiterverarbeitet werden
		will.
2. forward:	In dieser Kette sind Regeln, die Pakete, die weitergeleitet
		werden sollen, nehmen müssen.
3. output:	Pakete, die diesen Regeln entsprechen, werden dann auch
		wieder aus dem Rechner herausgelassen.

...und zu jeder dieser 3 Ketten gibt´s eine policy, einen Standardwert, der
zutrifft, falls ein Paket nicht unter eine der eingetragenen Regeln fällt.

Will man halbwegs sicheres masquerading machen, empfiehlt sich folgende
vorgehensweise:

1. input policy ist accept all (-> Hier lassen sich gut Regeln unterbringen,
die dann im nachhinein wieder einige Benutzer ausschließen sollen. Außerdem
sollte man noch 192.168.x.y-Pakete von pppN, ipppN, isdnN rejecten).
2. output policy auf accept all (hier kann noch fine tuning gemacht werden:
_kein_ output von 192.168.x.y-Paketen auf pppN, ipppN, isdnN)
3. forward policy auf reject
4. forward mit masquerading für das 192.168.x.y-Netz

...und das ist dann auch schon alles. Ich gebe mal bewußt _keine_ Befehle,
weil´s nun ja schon 3 Wege gibt, das zu machen. Ach ja:
	echo "1" > /proc/sys/net/ipv4/ip_forward
nicht vergessen;)


MfG, JBG

-- 
Fehler eingestehen, Größe zeigen: Nehmt die Rechtschreibreform zurück!!!

More information about the Linux mailing list