Konfiguration Firewall (Nachtrag) + NAT
Ron Opitz
ron.opitz at dts.de
Wed May 16 14:21:07 CEST 2001
"Burkhard Obergöker" schrieb:
> In dieser Form wird nur der Source-Port abgefragt. Der http-"Client"
> benutzt dabei ein nicht-reservierten Port, der >1024 ist. Daher
> funktioniert diese Kette nur mit angehängtem ":", weil das
> gleichbedeutend mit 80:65534 ist. Wenn Du nur 80 zulässt, kann es nicht
> funktionieren, weil der source port ja >1024 ist.
> Drehst Du das ganze um, kommt das hier dabei heraus:
>
> iptables -F INPUT
> iptables -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT
> iptables -A INPUT -i eth1 -j DROP
>
> Das sollte das sein, was Du gewollt hast.
Genauso ist es. Danke!
Nun zu NAT (Masquerading)... unter Kernel 2.2 öfters gemacht. Laut
Howto in 2.4 ebenfalls kein Problem es läuft. Aber ...
So steht es im Skript:
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
(laut Howto)
Rechner mit 2 Karten
eth0 172.31.30.98
eth1 192.168.10.1
Rechner Intranet
172.31.30.33
Rechner Internet (symbolisch)
192.168.10.2
Ohne das Skript kennen sich die Rechner nicht, Verbindungsrechner
spielt also keinen Router. Sobald das Skript ausgeführt ist, kann ich
vom Intranet aus auf den symbolischen Rechner im Internet zugreifen.
Problem ist bloß andersrum auch. Ich kann den Rechner 172.31.30.33
von 192.168.10.2 anpingen. Obwohl doch POSTROUTING -o eth1 gesetz ist,
also die ausgehenden Anfragen umgesetzt werden.
Mache oder verstehe ich etwas verkehrt?
Danke nochmals im Voraus
Gruss Ron
More information about the Linux
mailing list