newbie spørgsmål: grænseflade, internet sharing etc.

Grensedlate - Den startes sannsynligvis med kommandoen "startx"
Firewall/routing - Lag et firewall scrip for delt internttforbindelse vha denne:
http://iptables.1go.dk

Scriptet kan kjøres fra det directory det ligger i vha kommando "bash <scriptnavn>"

jeg får unknown command hvis jeg skriver "startx"

nu fik jeg grænseflade på men scriptet får jeg ikke meget ud af

mit script ser ud som følgende:

#!/bin/sh

# iptables script generator: V0.1-2002
# Comes with no warranty!
# e-mail: michael@1go.dk

# Diable forwarding
echo 0 > /proc/sys/net/ipv4/ip_forward

LAN_IP_NET='192.168.0.1/24'
LAN_NIC='eth0'
WAN_IP='10.81.8.182'
WAN_NIC='eth1'

# load some modules (if needed)
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp

# Flush
iptables -t nat -F POSTROUTING
iptables -t nat -F PREROUTING
iptables -t nat -F OUTPUT
iptables -F

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# enable Masquerade and forwarding
iptables -t nat -A POSTROUTING -s $LAN_IP_NET -j MASQUERADE
iptables -A FORWARD -j ACCEPT -i $LAN_NIC -s $LAN_IP_NET
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Open ports on router for server/services
iptables -A INPUT -j ACCEPT -p tcp --dport 80
iptables -A INPUT -j ACCEPT -p tcp --dport 21
iptables -A INPUT -j ACCEPT -p tcp --dport 110
iptables -A INPUT -j ACCEPT -p tcp --dport 25

# STATE RELATED for router
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


# Enable forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward


som noget mystisk kan jeg fra klienterne, pinge LAN kortet (192.168.0.1) og endda WAN kortet (WWW) men alligvel kan jeg ikke forbinde til nettet

rettelse: jeg kan ikke pinge hverken LAN eller WAN kort fra klienterne efter jeg kørte det viste  script

Ja nå har du hoppet ut i det ! :)

Hvilke ip har du på lan maskinene ? (De må hete noe med 192.168.0.x og nettverksmasken må være rett.)

Og wan ip '10.81.8.182' hvor kommer denne fra ?

hvis du kjører kommando "ifconfig eth0" og "ifconfig eth1" får du så fram de samme ip'ene ? (det skal du event gjøre hvis det er rett satt opp.)

Denne setningen skal gi delt internnettforbindelse:
iptables -t nat -A POSTROUTING -s $LAN_IP_NET -j MASQUERADE
Ser ut til å være rett.

Som en del av en feilsøking så kan du endre slik:

iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

Dette vi si at du midlertidig tar vekk firewall funksjonen mens du beholder routing funksjonen. (Ved at alle tre policies dvs den siste default regel som trer i kraft er satt til ACCEPT, dvs åpen.)

Forsøk også kommandoene "iptables -L" og "iptables -t nat -L" for å sjekke status på firewall.

Man kan også "jukse" litt hvis man bare nehøver en delt internettforbindelse:


#!/bin/sh

# load some modules
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp

# Enable forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

# enable Masquerade
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE


Det skulle vel faktisk gjøre jobben med hensyn til en delt internettforbindelse (men firewall står helt åpen.)

Du får lage en liten test og så: "iptables -L" og "iptables -t nat -L"
pluss pinging i forhold til de andre PC.

Siste måte å skrive script på er uten ip slik at man slipper å legge ip inn i scriptet. ip må uansett være riktig satt på kortene. Sjekkes med "ifconfig"

hej langbein

10.81.8.182 er min IP på det lokalnet som giver mig internet. Jeg har fundet frem til den vha. ifconfig som du selv nævner.

I Netværkskonfiguration, skal enhederne her tildeles oplysninger? Jeg har fx sat LAN-kortet til at bruge 192.168.0.1 mens WAN-kortet er sat til DHCP, da jeg endnu ikke har fast/offentlig IP

Prøver lige dit script

det virker næsten, nu kan jeg fra klienter pinge andre IP, men det ser ud til at domæne går i kluder... det er vel min DNS der er sat forkert op?

jeg får en fejl når jeg udfører iptables -t -nat -L

iptables v1.2.7a: can't initialize iptables table `-nat': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.

Det skal være slik: "iptables -t nat -L"
Altså ingen strek forran "nat"

Det er ellers en litt vanlig problemstilling at det kan gå litt surr med domenene innepå lan. Forsøk også og sjekk om det virker utenfra.
men er det ikke elelrs et prblem at du har ekstern adresse 10.81.8.182 ?
Dette er vel en intern adresse som ikke skulle virke eksternt med mindre det finnes en spesiell forwarding fram til denne fra modem eller fra isp eller hva det måtte være ??

serveren's WAN kort har følgende oplysninger:
IP: 10.81.8.182 (DHCP) - den forbinder mig på en offentlig IP som jeg deler med 10-15 andre personer.
Gateway: 10.81.8.1
DNS: 195.184.96.2

LAN kort
IP: 192.168.0.1
Gateway: ???
DNS: ???

Før kørte jeg Windows 2000 Server, hvor alle klienter var sat op således:

IP: 192.168.0.100-253
Gateway: 192.168.0.1
DNS: 192.168.0.1

Og det virkede blot jeg valgte at dele internet forbindelsen, som en del af Win2000 Server.

Er der noget her som er helt galt?

jeg har fundet ud af at Yahoo Messegner virker på en klient, hvilke må betyde at der er forbindelse, men DNS er konfigureret forkert?

Nu virker det squ, det var DNS der gjorde vrøvl, rettede den til min ISP's DNS

Takker, du får lige 100 point for din indsats