Et läuft, endlich

Volker Gueth vgueth at uni-bielefeld.de
Sun Aug 29 21:26:28 CEST 1999 

On Sun, Aug 29, 1999 at 07:31:04PM +0200, Michael Liebe wrote:
> Hallo Leute,
> 
> wie Ihr seht, es läuft. Also was habe ich gemacht:
> 
> 1. Apache und Squid ausgeschaltet
> 
> 2. echo "1" > /proc/sys/net/ipv4/ip_forward
> Bitte kurz erläutern was hier passiert, ist das ein temporärer Befehl,
> der nach 
> einem Reboot wieder eingegeben werden muß)

Das sagt dem Kernel, daß er Packete, die nicht für den eigenen Rechner sind
weiterleiten soll. Vermutlich kann man SuSE irgendwo in der rc.config
sagen, daß er das bei jedem Start macht. Sonst scheib eine Batchdatei die 
das tut.
 
> 3. /sbin/ipchains -A forward -p all -s 192.168.1.0/24 -d 0.0.0.0/0
> Auch hier eine kleine Erklärung

Kann man sich sparen. Das heißt, daß die Firewall alle Packete, die von
192.168.1.0 an irgendwen gehen, weitergeleitet werden dürfen. Wenn man aber
vorher nicht in der Firewall rumgepfuscht hat, solle er das standardmäßíg
tun. -p all heißt, für alle Protokolle (tcp/udp/icpm) und kann auch
weggelassen werden, da auch das Voreinstellung ist.
 
> 4./sbin/ipchains -P forward MASQ
> Nun ja, verstehe ich natürlich auch nicht.

Das heißt, das alle Packete, die weitergeleitet werden maskiert werden
(Absender IP durch die eigene ersetzen). Würde ich aber so nicht machen.
Statt den beiden obigen Regeln lieber
ipchains -A forward -j MASQ -s 192.168.0.0/16 -d ! 192.168.0.0/16
Das heißt, daß alle Packete, die von 192.168.x.x kommen und NICHT nach
192.168.x.x gehen beim weiterleiten maskiert werden. Dann kommen im
lokalen Netz die echten Adressen an (für weiteres siehe IPCHAINS-HOWTO).
 
> Wenn die Punkte 1-4 nur temporär gespeichert werden, wie kann ich sie
> beim booten
> automatisch laden bzw. ausführen lassen oder in welche Datei werden sie
> geschrieben.

Du scheibest eine Batchdatei in der alle diese Befehle stehen und laß
diese beim Starten ausführen. Die Daten werden in keine Datei geschrieben.
Man kann mit ipchains-save dei Firewall-Regeln speichern und sie mit
ipchains-restore wieder laden. Das lohnt sich hier aber kaum.
 
> So, ich kann jetzt auch das andere Netz erreichen. Ping von PC4 nach PC3
> funkt, aber nur
> solange der Linux-Rechner nicht neu gebootet wird.

Logisch da Du zum Routen erst  echo "1" > /proc/sys/net/ipv4/ip_forward
eingeben mußt. Wie gesagt in rc.config suchen oder Batchdatei.
 
> Ich kann Euch auch sagen, warum ich mit dem Client-Browser keine Seite
> aus dem WWW auf-
> rufen konnte. Zuerst habe ich versucht, einen Ping an
> www.uni-bielefeld.de zu senden.
> Da kam sowas  wie BAD Adress oder so ähnlich. Dann habe ich den
> DNS-Server der Uni
> angepingt und siehe da, es kam Antwort. Da wurde ich stutzig und habe im
> Netzwerk des
> Win95-Rechners den DNS aktiviert und die beiden DNS-Adressen
> eingetragen. Rebootet
> und es ging.
> 
> Tja, mußte ich das wissen? 

Das man ohne Nameserver keine Namen auflösen kann? Eigentlich schon.

> Mir geht es jetzt noch um ein paar Begrifferklärungen:
> 
> 1. WWW-Proxy
> ist dies ein Stellvertreter, der WWW-Anfragen mehrerer Clients
> weiterleitet. Wenn ja,
> warum brauche ich dann zur Zeit keinen, da nun 3 Rechner über meine
> Leitung laufen.
> Wer oder was erledigt diese Aufgabe zur Zeit? Nur die Firewall !

Macht z.B. Squid, aber Firewalling ist eine Alternative dazu.
 
> 2. WWW-Cache
> dieser soll angeblich alle WWW-Seiten, die er erhalten hat speichern und
> bei Anfrage
> von Clients vorhandene Seiten aus dem Cache holen und diese liefern.
> Richtig?

Ja, macht auch Squid, deshalb macht er IMHO auch bei 3 Rechnern Sinn,
auch wenn Andre andrer Meinung ist.
 
> Und das wurde in obiger Anleitung mit Squid realisiert. Nur werden in
> dieser Diskussion
> immer beide Begriffe synonym benutzt oder ist Squid sowohl Proxy als
> auch Cache?

Ja.
 
> Nun gut. Jan-Benedict hat gerade vorgeschlagen, das mal jemand
> vorbeikommt. Ich würde
> mich freuen. Pizza und Bier geht natürlich auf mich. Habe immer Zeit.
> Also Vorschläge.
> Vielleicht gibt es den einen oder anderen, der auch so unweise ist wie
> ich.

Komm doch einfach auf das nächste LUG-Treffen, dann kann man sowas 
mal besprechen.
 
cu Volker

More information about the Linux mailing list