Iptables

  • ich bekomm das nicht hin

    ich hab ein script geschrieben:

    #!/bin/bash
    IPTABLES='/sbin/iptables'
    EXTIF='eth1'
    INTIF='eth0'
    /bin/echo 1 > /proc/sys/net/ipv4/ip_forward
    $IPTABLES -F
    $IPTABLES -X
    $IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE
    $IPTABLES -A FORWARD -i $INTIF -o $EXTIF -m state --state NEW,ESTABLISHED -j ACCEPT
    $IPTABLES -A INPUT --protocol tcp --dport 22 -j ACCEPT
    $IPTABLES -A INPUT --protocol tcp --dport 80 -j ACCEPT
    $IPTABLES -A INPUT -i $EXTIF -m state --state NEW,INVALID -j DROP
    $IPTABLES -A FORWARD -i EXTIF -m state --state NEW,INVALID -j DROP

    dieses script soll nur eth1 (ist im internet) zu eth0 forwarden damit ich mit freundin notebook über meinen ins internet kann!

    ip's wurden glaub ich richtig gesetzt und ip tables läuft auch ohne probleme nur kommt sie nicht ins internet

    route aufn server ergibt:

    Kernel IP routing table
    Destination Gateway Genmask Flags Metric Ref Use Iface
    192.168.1.0 * 255.255.255.0 U 0 0 0 eth0
    192.168.0.0 * 255.255.255.0 U 0 0 0 eth1
    loopback localhost 255.0.0.0 UG 0 0 0 lo
    default 192.168.0.10 0.0.0.0 UG 0 0 0 eth1

    auf dem client:

    Kernel IP routing table
    Destination Gateway Genmask Flags Metric Ref User iface
    192.168.1.0 * 255.255.255.0 U 0 0 0 eth0
    loopback localhost 255.0.0.0 UG 0 0 0 lo
    default 192.168.1.1 0.0.0.0 UG 1 0 0 eth0


    server: ip 192.168.1.1
    client: ip 192.168.1.77
    gateway="eth0/192.168.1.1"


    hat jemand ne ahnung was falsch ist??

  • naja das skript kann man auch schnell editieren und shorewall kannte ich bis jetzt noch nicht, habs schon ausprobiert!

    ich hab das problem schon gelöst! ich hatte vergessen beim client in die /etc/resolv.conf den dnsserver einzutragen, in meinem fall die adresse vom router, schaut so aus:
    nameserver 192.168.0.10 und schon gings;) um das herauszufinden brauchte ich 3 stunden;)

    aber danke auf jeden fall für den tipp mit sharewall

  • Zitat von gelbasack

    Benutzt du aus Prinzip ein reines iptables Script?
    Ich würde nämlich ein Frontend (zB Shorewall) empfehlen, damit kann man iptables sehr, sehr einfach konfigurieren.


    ich hasse front-ends.

    1. die daraus generierten skripts sind meist schwierig zu lesen
    2. man bekommt damit kein verständnis der zugrunde liegenden technik (iptables)
    3. microsoft-like

  • Zitat


    ich hasse front-ends

    Warum genau ist es notwendig, die zugrundelegende Technik zu kennen ?

    Ich finde den vergleich Assembler/Hochsprache sehr treffend.
    Assembler=pures Iptable, Hochsprache = frontend, z.b fwbuilder.

    Umgemünzt darauf wären die Vorwürfe etwa diese:

    a) Hochsprachen sind schlecht, weil der erzeugte Assembler Code unübersichtlich/schlecht leserlich ist.
    b) Man lernt dabei kein Assembler
    c) Hochsprachen sind Microsoft-like.

    Mfg, LB


    Trading for a living [equities,futures,forex]

  • Zitat von Lord Binary

    Warum genau ist es notwendig, die zugrundelegende Technik zu kennen ?


    Notwendig wohl kaum, aber soweit ich das verstanden habe studieren wir hier, noch dazu Informatik, also sogar themenbezogen, und da duerfen Leute ruhig auch "Interesse" zeigen :)

    Zitat von Lord Binary


    a) Hochsprachen sind schlecht, weil der erzeugte Assembler Code unübersichtlich/schlecht leserlich ist.
    b) Man lernt dabei kein Assembler
    c) Hochsprachen sind Microsoft-like.

    (a) und (b) sind sicher richtig! :) Nur sind heutige Anforderungen eben zu komplex um sie in ASM ausprogrammieren; was man von iptables nicht behaupten kann, das ist durchaus noch zu Fuss zu durchschauen. Ob man dann die naechsten Jahrzehnte seine Scripts noch haendisch schreibt oder zusammenklickt ist eine andere Geschichte. Aber zugrundeliegende Techniken beherrschen war noch nie schlecht, und wirds auch nie sein. Überhaupt wenn man nicht User ist, sondern Engineer.

    Offtopic++!

  • Jo, eh :coolsmile

    Bis auf:

    a) ist sicher richtig.

    Ob das Compilat übersichtlich ist, ist IMHO irrelevant.
    Hauptsache in der Quellsprache ist es gut lesbar/wartbar/etc.
    Effizenz ist eine andere Sache (die aber nicht angesprochen wurde).

    Wenn jemand Spaß daran hat, für (wirklich) komplexe fw's Iptable-Scripts zu Fuß zu programmieren, sie bei Ändeurngen der Policies zu warten etc, naja, bitte schön, dem/der wünsch' ich viel Vergnügen damit :)

    Offtopc+++


    Trading for a living [equities,futures,forex]

  • ein weiteres, ich denke sehr wichtiges, argument von front-ends ist, dass front-ends die leistungsfähigkeit und funktionalität von der zugrunde liegenden technik stark einschränkt. ich kann mir nicht vorstellen, das dieses ip-tables front-end die ohne übertreibung 100 parameter von iptables ohne weiteres verwenden und konfigurieren lässt.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!