---

Hej!

Jeg er begyndt at kigge på IP Tables til NAT og har et par
spm.

En Linux-box skal bruges som router med NAT, så min off. IP-adresse kan
blive "oversat" til flere private:

Jeg har to netkort i maskinen:
eth0
og
eth1

Eth0 går ud mod WAN (min ADSL-forbindelse)
Eth1 går ind mod LAN

Eth0 får IP-adressen 80.x.x.x
Eth1 får IP-adressen 192.168.1.1

Nu til mit spørgsmål:

Jeg går ud fra at jeg skal POSTROUTING + SNAT på "Outgoing interface"...
(eth0).......???

Er det korrekt at bruge følgende syntax:
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to
193.168.1.2-193.168.1.5
???

Skal der også laves
iptables/POSTROUTING/DNAT
???

--
Mange hilsner fra...
Carsten
DK-2630 Taastrup
e-mail: cajuth@worldonline.dk

---

Her er den opsætning jeg kørte med da jeg brugte linux som gateway....

---------
# flush all tables

iptables -t filter -F
iptables -t mangle -F
iptables -t nat -F

# set standard policies

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# accept all related from outside

iptables -A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT

# accept all outgoing traffic from LAN

iptables -A FORWARD -i eth1 -j ACCEPT
iptables -A INPUT -i eth1 -j ACCEPT

# tcp stack returns RST on SYN to port 113 (fix IRC delay)

iptables -A INPUT -i eth0 -p tcp --dport 113 -j REJECT --reject-with
tcp-reset

# accept loopback traffic

iptables -A INPUT -i lo -j ACCEPT

# masquerade LAN

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# protect against synfloods and activate forwarding

echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo 1 > /proc/sys/net/ipv4/ip_forward
----------------

Håber det kan bruges.

-mb

---

Tak for dit indlæg...

Er der nogen der kan kommentere min syntax om den er ok... og mit spm.
omkring DNAT / SNAT.
(Jeg vil helst ikke bruge
MASQUERADE som i dit eksempel.

Mange hilsner fra...
Carsten
DK-2630 Taastrup
e-mail: cajuth@worldonline.dk

---

Den Fri, 10 May 2002 11:52:15 +0200 skrev _ cjt:
>Hej!
>
>Jeg er begyndt at kigge på IP Tables til NAT og har et par
>spm.
>
>En Linux-box skal bruges som router med NAT, så min off. IP-adresse kan
>blive "oversat" til flere private:
>
>Jeg har to netkort i maskinen:
>eth0
>og
>eth1
>
>Eth0 går ud mod WAN (min ADSL-forbindelse)
>Eth1 går ind mod LAN
>
>Eth0 får IP-adressen 80.x.x.x

Var det ikke nemmere at skrive 80.196.137.183?

>Eth1 får IP-adressen 192.168.1.1
>
>Nu til mit spørgsmål:
>
>Jeg går ud fra at jeg skal POSTROUTING + SNAT på "Outgoing interface"...
>(eth0).......???
>
>Er det korrekt at bruge følgende syntax:
>iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to
>193.168.1.2-193.168.1.5
>???

Det giver overhovedet ingen mening. Du skal nat'e til dit eget eksterne
IP-nummer, ikke til et ip-nummer tilhørende Centre Universitaire i
Luxemburg

Ok ok, jeg kan godt gætte at du mente 192 i stedet for 193 Men det
giver stadig ikke mening at ændre source-adressen til en intern adresse.
Pakkerne har jo en intern adresse i forvejen.

Mvh
Kent
--
If you think about it, Windows XP is actually the OS that
started as "Microsoft OS/2 NT 3.0"

---

_ cjt wrote:

> Eth0 får IP-adressen 80.x.x.x
> Eth1 får IP-adressen 192.168.1.1

> Er det korrekt at bruge følgende syntax:
> iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to
> 193.168.1.2-193.168.1.5

Nej, så NAT'er du til din interne adresse. DU skal NAT'e til din eksterne
adresse:

iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 80.x.x.x

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
"Nothing would please me more than being able to hire ten programmers
and deluge the hobby market with good software."
-- Bill Gates 1976
We are still waiting ....
----------------------------------[ moffe at amagerkollegiet dot dk ] --