---

Hej

Jeg har en maskine stående med Debian 3.0 på.
Nu skulle jeg have den på nettet for at fungere som router mellem en
windows-maskine og det store internet.

Inden debian-serverne fik forbindelse til til nettet kunne
windowsmaskinen og debianmaskinen pinge hinanden, så vidt jeg lige
husker.

Så fik jeg debianmaskinen sluttet til internettet vha. ppp-oe. Nu kan
jeg fra debianmaskinen se alt på internettet, men der er ikke længere
hul mellem windowsmaskinen og debianmaskinen.

Kan det være routningen den der gal med?

Output fra ifconfig ser sådan ud:
eth0 Link encap:Ethernet HWaddr 00:40:63:C4:B5:BD
inet addr:192.168.1.4 Bcast:192.168.1.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:55 errors:0 dropped:0 overruns:0 frame:0
TX packets:92 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:5542 (5.4 KiB) TX bytes:5575 (5.4 KiB)
Interrupt:11 Base address:0xec00

eth1 Link encap:Ethernet HWaddr 00:02:1E:F5:72:36
inet addr:192.168.1.159 Bcast:192.168.1.255
Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:924 errors:0 dropped:0 overruns:0 frame:0
TX packets:754 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:84739 (82.7 KiB) TX bytes:96192 (93.9 KiB)
Interrupt:12 Base address:0xd000

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:17 errors:0 dropped:0 overruns:0 frame:0
TX packets:17 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:1485 (1.4 KiB) TX bytes:1485 (1.4 KiB)

ppp0 Link encap:Point-to-Point Protocol
inet addr:80.199.7.216 P-t-P:195.249.61.170
Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 Metric:1
RX packets:798 errors:0 dropped:0 overruns:0 frame:0
TX packets:527 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:59535 (58.1 KiB) TX bytes:61881 (60.4 KiB)

eth1 er mod internettet, eth0 mod det interne net.

Output fra route ser sådan ud:

Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use
Iface
vgnxx3.ip.tele. * 255.255.255.255 UH 0 0 0
ppp0
localnet * 255.255.255.0 U 0 0 0
eth1
localnet * 255.255.255.0 U 0 0 0
eth0
default vgnxx3.ip.tele. 0.0.0.0 UG 0 0 0
ppp0



--
Mads Lie Jensen - mads@gartneriet.dk - ICQ #25478403
-snart med hund: http://vedskovens.dk/d/hv/2005_olivia/051015/051015_b1.htm

Gartneriet - snart i ny indpakning: http://ny.gartneriet.dk

---

On Sat, 22 Oct 2005 10:59:09 +0200, Mads Lie Jensen wrote:

>
> Kan det være routningen den der gal med?
>
har du husket at tillade ip forward på din Debian?
I filen /etc/network/options skal ip_forward sættes til yes. Du skal
herefter genstarte netværket - /etc/init.d/
networking force-reload
--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917

---

On Sat, 22 Oct 2005 11:27:34 +0200, Michael Rasmussen <mir@miras.org>
wrote:

>> Kan det være routningen den der gal med?
>>
>har du husket at tillade ip forward på din Debian?

Den var sat til yes.

>I filen /etc/network/options skal ip_forward sættes til yes. Du skal
>herefter genstarte netværket - /etc/init.d/
>networking force-reload

Prøvede det, men det hjalp ikke.

--
Mads Lie Jensen - mads@gartneriet.dk - ICQ #25478403
-snart med hund: http://vedskovens.dk/d/hv/2005_olivia/051015/051015_b1.htm

Gartneriet - snart i ny indpakning: http://ny.gartneriet.dk

---

On Sat, 22 Oct 2005 10:59:09 +0200, Mads Lie Jensen <mads@gartneriet.dk>
wrote:

>Jeg har en maskine stående med Debian 3.0 på.
>Nu skulle jeg have den på nettet for at fungere som router mellem en
>windows-maskine og det store internet.
>
>Inden debian-serverne fik forbindelse til til nettet kunne
>windowsmaskinen og debianmaskinen pinge hinanden, så vidt jeg lige
>husker.
>
>Så fik jeg debianmaskinen sluttet til internettet vha. ppp-oe. Nu kan
>jeg fra debianmaskinen se alt på internettet, men der er ikke længere
>hul mellem windowsmaskinen og debianmaskinen.
>
>Kan det være routningen den der gal med?

Det var i første omgang til dels routningen den var gal med - efter jeg
fik byttet om på eth1 og eth0 i /etc/network/interfaces så virker det.
Jeg havde fået placeret eth1 før eth0 og så røg al trafik åbenbart ud på
eth1 som jo peger på internettet.

Men samtidig havde windows' forbandede indbyggede firewall lukket for
ping-pakker, så den svarede selvfølgelig ikke når jeg pingede den, selv
om det altså var hul igennem.

Nu skal jeg "bare" have sat noget NAT op, det ved jeg endnu ikke rigtig
hvor henne jeg skal gøre på en debian .....


--
Mads Lie Jensen - mads@gartneriet.dk - ICQ #25478403
-snart med hund: http://vedskovens.dk/d/hv/2005_olivia/051015/051015_b1.htm

Gartneriet - snart i ny indpakning: http://ny.gartneriet.dk

---

On Sat, 22 Oct 2005 16:35:29 +0200, Mads Lie Jensen wrote:

>
> Nu skal jeg "bare" have sat noget NAT op, det ved jeg endnu ikke rigtig
> hvor henne jeg skal gøre på en debian .....
Jeg tror denne artikel vil kunne hjælpe dig:
http://www.gnuskole.dk/router/

--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917

---

On Sat, 22 Oct 2005 16:57:16 +0200, Michael Rasmussen <mir@miras.org>
wrote:

>> Nu skal jeg "bare" have sat noget NAT op, det ved jeg endnu ikke rigtig
>> hvor henne jeg skal gøre på en debian .....
>Jeg tror denne artikel vil kunne hjælpe dig:
>http://www.gnuskole.dk/router/

Tak for linket - det er bare ikke lige brugbart for mig, der er ikke
noget grafisk på min server.

Men jeg fandt et firewall-script i linuxbog.dk's bog om sikkerhed. Det
fungerer glimrende.

Nu skal jeg bare finde ud af hvordan den "rigtige" måde at få debian til
at starte sådan et script ved boot.
Jeg kan fint smide scriptet ind i /etc/rc2.d/ og på den måde få det
startet ved opstart, men er det den rigtige måde i debian?

(Jeg er vandt til at rode med en SuSE)

--
Mads Lie Jensen - mads@gartneriet.dk - ICQ #25478403
-snart med hund: http://vedskovens.dk/d/hv/2005_olivia/051015/051015_b1.htm

Gartneriet - snart i ny indpakning: http://ny.gartneriet.dk

---

On Sat, 22 Oct 2005 20:47:24 +0200, Mads Lie Jensen wrote:

> Nu skal jeg bare finde ud af hvordan den "rigtige" måde at få debian til
> at starte sådan et script ved boot.
> Jeg kan fint smide scriptet ind i /etc/rc2.d/ og på den måde få det
> startet ved opstart, men er det den rigtige måde i debian?
i /etc/init.d/ findes en fil ved navn skeleton. Kopier den til en andet
filnavn, og ret den til så den passer med dit script.
Herefter: update-rc.d navn_på_dit_script defaults

--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917

---

On Sat, 22 Oct 2005 23:36:21 +0200, Michael Rasmussen <mir@miras.org>
wrote:

>> Nu skal jeg bare finde ud af hvordan den "rigtige" måde at få debian til
>> at starte sådan et script ved boot.
>> Jeg kan fint smide scriptet ind i /etc/rc2.d/ og på den måde få det
>> startet ved opstart, men er det den rigtige måde i debian?
>i /etc/init.d/ findes en fil ved navn skeleton. Kopier den til en andet
>filnavn, og ret den til så den passer med dit script.
>Herefter: update-rc.d navn_på_dit_script defaults

Smart - og nemt. Tak for hjælpen.

Jeg endte dog med at sætte det op sådan at mit iptables-script bliver
kørt når interfacet ppp0 kommer op. Det må være det mest rigtige. Og det
fungerer fint.

--
Mads Lie Jensen - mads@gartneriet.dk - ICQ #25478403
-snart med hund: http://vedskovens.dk/d/hv/2005_olivia/051015/051015_b1.htm

Gartneriet - snart i ny indpakning: http://ny.gartneriet.dk

---

Den Sun, 23 Oct 2005 21:44:51 +0200 skrev Mads Lie Jensen:
> On Sat, 22 Oct 2005 23:36:21 +0200, Michael Rasmussen <mir@miras.org>
> wrote:
>
>>> Nu skal jeg bare finde ud af hvordan den "rigtige" måde at få debian til
>>> at starte sådan et script ved boot.
>>> Jeg kan fint smide scriptet ind i /etc/rc2.d/ og på den måde få det
>>> startet ved opstart, men er det den rigtige måde i debian?
>>i /etc/init.d/ findes en fil ved navn skeleton. Kopier den til en andet
>>filnavn, og ret den til så den passer med dit script.
>>Herefter: update-rc.d navn_på_dit_script defaults
>
> Smart - og nemt. Tak for hjælpen.
>
> Jeg endte dog med at sætte det op sådan at mit iptables-script bliver
> kørt når interfacet ppp0 kommer op. Det må være det mest rigtige. Og det
> fungerer fint.

Nej. iptables er netop lavet så man kan oprette reglerne *inden*
interfacet kommer op, for at sikre at det ikke er muligt at snige
trafik ind i de millisekunder der ellers ville gå fra interfacet
kommer op til iptables er klar.

Normalt er opsætningen sådan at iptables-scriptet kører før nogen
interfaces kommer op overhovedet, selv før netkortet.

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

On 23 Oct 2005 20:36:43 GMT, Kent Friis <nospam@nospam.invalid> wrote:

>> Jeg endte dog med at sætte det op sådan at mit iptables-script bliver
>> kørt når interfacet ppp0 kommer op. Det må være det mest rigtige. Og det
>> fungerer fint.
>
>Nej. iptables er netop lavet så man kan oprette reglerne *inden*
>interfacet kommer op, for at sikre at det ikke er muligt at snige
>trafik ind i de millisekunder der ellers ville gå fra interfacet
>kommer op til iptables er klar.

Så vidt jeg husker (kan ikke tjekke min debian-server i skrivende stund
- en kommunal græsklipper har væltet min tdc-boks ude ved vejen, så jeg
er afskåret fra omverdnen pt.) kan man også køre et script før et
interface kommer op - det vil så altså være mere rigtigt?

>Normalt er opsætningen sådan at iptables-scriptet kører før nogen
>interfaces kommer op overhovedet, selv før netkortet.

Dvs. for at gøre det helt rigtigt, skal jeg få mit iptables-script til
at køre inden mine network-interfaces kommer op overhovedet ....


--
Mads Lie Jensen - mads@gartneriet.dk - ICQ #25478403
-snart med hund: http://vedskovens.dk/d/hv/2005_olivia/051015/051015_b1.htm

Gartneriet - snart i ny indpakning: http://ny.gartneriet.dk

---

On Fri, 28 Oct 2005 22:55:01 +0200, Mads Lie Jensen wrote:

>
> Dvs. for at gøre det helt rigtigt, skal jeg få mit iptables-script til
> at køre inden mine network-interfaces kommer op overhovedet ....
/etc/network/if-pre-up.d/
/etc/network/if-post-down.d/

Er skabt til formålet.

--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917

---

Den Fri, 28 Oct 2005 22:55:01 +0200 skrev Mads Lie Jensen:
> On 23 Oct 2005 20:36:43 GMT, Kent Friis <nospam@nospam.invalid> wrote:
>
>>> Jeg endte dog med at sætte det op sådan at mit iptables-script bliver
>>> kørt når interfacet ppp0 kommer op. Det må være det mest rigtige. Og det
>>> fungerer fint.
>>
>>Nej. iptables er netop lavet så man kan oprette reglerne *inden*
>>interfacet kommer op, for at sikre at det ikke er muligt at snige
>>trafik ind i de millisekunder der ellers ville gå fra interfacet
>>kommer op til iptables er klar.
>
> Så vidt jeg husker (kan ikke tjekke min debian-server i skrivende stund
> - en kommunal græsklipper har væltet min tdc-boks ude ved vejen, så jeg
> er afskåret fra omverdnen pt.) kan man også køre et script før et
> interface kommer op - det vil så altså være mere rigtigt?
>
>>Normalt er opsætningen sådan at iptables-scriptet kører før nogen
>>interfaces kommer op overhovedet, selv før netkortet.
>
> Dvs. for at gøre det helt rigtigt, skal jeg få mit iptables-script til
> at køre inden mine network-interfaces kommer op overhovedet ....

Det er der man normalt placerer dem. Fx har jeg (SuSE):

S03local-firewall
S04network

(tallet angiver opstarts-rækkefølgen).

Eller det vil sige, det har jeg nu, for jeg opdagede lige at der stod
04 ud for begge - men l kommer heldigvis før n i alfabetet, så de var
stadig i den rigtige rækkeføle.

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.