---

Hej
Jeg har et hjemme-netværk, bestående af en linux maskine,
som er tilkoblet internet via et adsl modem (Nortel 1-Meg-Modem),
Modemet er tilsluttet eth0 netkortet.
Udover linux maskinen er der en windows maskine, som er tilsluttet
linux'ens eth1 netkort.
Jeg har fået pejlet mig ind på at det er noget med ipchains og masquerading
jeg skal bruge, for at få internet-adgang på windowsmaskinen, og så bruge
linux'en som gateway.
Men hulme om jeg lige kan hitte ud af at få det til at fungere.

Nu var det så så heldigt at der i Alt Om Data 1/01 står om netop den
net-opsætning jeg har, og forfatteren giver det konkrete eksempel
på hvad han gjorde:

ipchains -A forward -i eth0 -j MASQ
ipchains -A forward -s 0.0.0.0/0 -d 0.0.0.0/0 -l -j REJECT
echo 1 > /proc/sys/net/ipv4/ip_forward

Jeg prøvede så at skrive dette, men det hjalp ikke det store..
Jeg har også været på www.sslug.dk og kigge i "Linux - friheden til
systemadministration", og der fandt jeg følgende:

ipchains -A forward -s 192.168.0.1/255.255.255.255 \ -d 0.0.0.0/
0.0.0.0 -i eth0 -j MASQ

Dette prøvede jeg også, blot ændrede jeg lidt på ip'erne så det var dette:
ipchains -A forward -s 192.168.0.2/255.255.255.0 \ -d 0.0.0.0/0.0.0.0
-i eth0 -j MASQ
jeg skrev.
Det hjalp nu heller ikke det store, så nu er jeg gået lidt istå med
løsnings muligheder.
Jeg håber derfor at der er en eller flere her i gruppen der kan gennemskue
hvad det er jeg gør galt.

Det skal lige siges at:
eth0 har min internet IP: 212.242.160.148
eth1 har hjemme-net IP: 192.168.0.1
windåsen har hjemme-net IP: 192.168.0.2
Og windows'ens gateway er sat til: 192.168.0.1
subnetmask er 255.255.255.0 på windows'en, og det mener jeg
også den er på eth1.
Fra linux-maskinen kan jeg fint pinge både internet, og windowsmaskinen,
fra windowsmaskinen kan jeg dog kun pinge linux'en, ikke internet ( er
det ikke den nemmeste måde at tjekke om der er "hul" igennem?)

Sig endelig til hvis mere info er nødvendig.

Mvh. Finn Donati

---

On Sat, 30 Dec 2000, Donati wrote:

> Det skal lige siges at:
> eth0 har min internet IP: 212.242.160.148
> eth1 har hjemme-net IP: 192.168.0.1
> windåsen har hjemme-net IP: 192.168.0.2
> Og windows'ens gateway er sat til: 192.168.0.1

Ud fra dine uplysninger, har jeg lige ændret mit ipchains script, jeg ved
ikke om det vil virke, men det er vel et forsøg vær??


gem det i en fil, og chmod det til 700 med root

#!/bin/bash

# Reset Ipchains
/sbin/ipchains -F
/sbin/ipcahins -P input ACCEPT
/sbin/ipchains -P output ACCEPT
/sbin/ipchains -P forward ACCEPT

#Sætter ipchains
/sbin/ipchains -P input DENY
/sbin/ipchains -P output ACCEPT
/sbin/ipchains -P forward DENY
/sbin/ipchains -A input -p all -j ACCEPT -i lo
/sbin/ipchains -A input -p all -j ACCEPT -i eth1
/sbin/ipchains -A input -p all -s 192.168.1.0/255.255.255.0 -j DENY -i eth0
/sbin/ipchains -A forward -p tcp -j MASQ \! -y
/sbin/ipchains -A forward -p tcp -j MASQ -s 0/0 ftp-data -d 0/0 56000:65096 -y
/sbin/ipchains -A forward -p udp -j MASQ -s 0/0 domain -d 0/0 56000:65096

#Disse 2 er til dns opslag og skal erstattes med din isp's dns adresser
/sbin/ipchains -A forward -p udp -s xxx.xxx.xxx.xxx 53 --dport 1024:65535 -j MASQ
/sbin/ipchains -A forward -p udp -s xxx.xxx.xxx.xxx 53 --dport 1024:65535 -j MASQ

#Den er til icq. Skal muligvis ændres
/sbin/ipchains -A forward -p udp -s icq.mirabilis.com 4000 -j MASQ
/sbin/ipchains -A input -p icmp -s 0/0 redirect -j DENY --log
/sbin/ipchains -A input -p icmp -s 0/0 timestamp-request -j DENY --log
/sbin/ipchains -A input -p icmp -s 0/0 address-mask-request -j DENY --log
/sbin/ipchains -A input -p icmp -j ACCEPT
/sbin/ipchains -A input --log

#gæmmer ipchains
/sbin/ipchains-save > /ect/ipchains.rules

--
Mvh
Heine Laursen

Replace @Linux.dk with @pokerface.dk to mail

---

Heine Laursen <gozar@Linux.dk> skrev:

> Ud fra dine uplysninger, har jeg lige ændret mit ipchains script, jeg ved
> ikke om det vil virke, men det er vel et forsøg vær??

Det er det da bestemt

>... og chmod det til 700 med root

Øhh..skær venligst mere ud i pap
(aner ikke hvad det vil sige at chmod'e til 700).

....
> /sbin/ipchains -A input -p all -s 192.168.1.0/255.255.255.0 -j DENY -i
eth0

Bør jeg ikke ændre dette til:
/sbin/ipchains -A input -p all -s 192.168.0.1/255.255.255.0 -j DENY -i eth0
?

Mvh. Finn Donati

---

On Sat, 30 Dec 2000, Donati wrote:
> >... og chmod det til 700 med root
>
> Øhh..skær venligst mere ud i pap
> (aner ikke hvad det vil sige at chmod'e til 700).

chmod 700 filnavn

> > /sbin/ipchains -A input -p all -s 192.168.1.0/255.255.255.0 -j DENY -i
> eth0
>
> Bør jeg ikke ændre dette til:
> /sbin/ipchains -A input -p all -s 192.168.0.1/255.255.255.0 -j DENY -i eth0
> ?

Nej, men du bør tilgængæl ændre ipadressen til 192.168.0.0

/sbin/ipchains -A input -p -all -s 192.168.0.0/255.255.255.0 -j DENY -i
eth0

--
Mvh
Heine Laursen

Replace @Linux.dk with @pokerface.dk to mail

---

Heine Laursen <gozar@Linux.dk> skrev:

> chmod 700 filnavn

Ok, og hvad vil det gøre?

> Nej, men du bør tilgængæl ændre ipadressen til 192.168.0.0

Nu er jeg ikke lige med.. hvorfor bør jeg det?
(jeg mener.. der er jo ikke nogen af mine maskiner der har IP 192.168.0.0)

Mvh. Finn Donati

---

On Sun, 31 Dec 2000, Donati wrote:

>
> Heine Laursen <gozar@Linux.dk> skrev:
>
> > chmod 700 filnavn
>
> Ok, og hvad vil det gøre?

Det vil gøre at root kan læse, ændre og execute scriptet. Alle andre har
ingen rettigheder til filen.

> > Nej, men du bør tilgængæl ændre ipadressen til 192.168.0.0
>
> Nu er jeg ikke lige med.. hvorfor bør jeg det?
> (jeg mener.. der er jo ikke nogen af mine maskiner der har IP 192.168.0.0)

fordi du bruger med ipadresserne 192.168.0.1 & 192.168.0.2
Så betyder 192.168.0.0 alle ipadresser der starter med 192.168.x.x


--
Mvh
Heine Laursen

Replace @Linux.dk with @pokerface.dk to mail

---

Heine Laursen <gozar@Linux.dk> writes:

> Så betyder 192.168.0.0 alle ipadresser der starter med 192.168.x.x

For lige at gøre noget med fluer, så er det kun i et /16 net,
eller i hvert fald i et større net end et /24.
Af historiske årsager er 192.168.0.0 næsten altid /24 net, og
192.168.0.0 er således adressen på det netværk der indeholder
adresserne 192.168.0.x, forudsat at vi snakker om et /24 net.

--
Jacob
But I can't upgrade my kernel, I've got some mad uptime!

---

On Sun, 31 Dec 2000, Jacob Bunk Nielsen wrote:

> Heine Laursen <gozar@Linux.dk> writes:
>
> > Så betyder 192.168.0.0 alle ipadresser der starter med 192.168.x.x
>
> For lige at gøre noget med fluer, så er det kun i et /16 net,
> eller i hvert fald i et større net end et /24.
> Af historiske årsager er 192.168.0.0 næsten altid /24 net, og
> 192.168.0.0 er således adressen på det netværk der indeholder
> adresserne 192.168.0.x, forudsat at vi snakker om et /24 net.

Hmm. Nu bliver det lidt for teknisk for mig!!
Er det subnet masken du snakker om??
Eks hvis sub er 255.255.0.0 så er det ip nummerene 192.168.x.x ??

--
Mvh
Heine Laursen

Replace @Linux.dk with @pokerface.dk to mail

---

Heine Laursen <gozar@Linux.dk> writes:

> Er det subnet masken du snakker om??

Ja, /24 er bare en anden måde at skrive at man benytter en
subnetmaske der hedder 255.255.255.0, eller at de første 24
bit af subnetmasken er sat. Således svarer /16 til en subnet-
maske der er 255.255.0.0.
Det er også forklaret på:
http://www.net-faq.dk/cgi-bin/faqmain.pl?get=ip

> Eks hvis sub er 255.255.0.0 så er det ip nummerene 192.168.x.x ??

Jo!

Men af historiske årsager vil man ofte vælge et andet range,
hvis man vil have et /16 net.

I RFC 1918 har man afsat adresserne:
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
Svarende til en A-klasse, 16 B-klasser og 255 C-klasser.
Klassefulde net er en død ting, men historien hænger ved
når man vælger adresseområder.

--
Jacob
Always remember that you are unique, just like everyone else.

---

> Jeg prøvede så at skrive dette, men det hjalp ikke det store..
> Jeg har også været på www.sslug.dk og kigge i "Linux - friheden til
> systemadministration", og der fandt jeg følgende:

Prøv denne: http://www.sslug.dk/sikkerhed/ipchains.html
Du skal så lige huske sådan noget som at tilpasse interface-angivelserne til
dit netværk.

/Andreas

---

Andreas Jensen <andreas@jensen.net> skrev:

> Prøv denne: http://www.sslug.dk/sikkerhed/ipchains.html
> Du skal så lige huske sådan noget som at tilpasse interface-angivelserne
til
> dit netværk.

der står:

"Regelsættet tillader at man kan bruge sin maskine normalt, altså surfe på
web, hente post og news, downloade filer med ftp osv, men hvis nogen udefra
prøver at få forbindelse med din maskine, så er der lukket af."

Og det er måske relateret, men det er jo ikke helt det jeg ønsker at opnå..
eller misforstår jeg?

Mvh. Finn Donati

---

....mon ikke du bare mangler at compile det ind i kernen?
IP-forwarding og tilhørende skal være en del af kernen, før du kan bruge
ipchains og ip-chains - og dette er som oftest ikke en standard del af
linux-distro'erne
(øh... tror jeg... længe siden jeg rent faktisk har installeret en...
linux skal jo som sådan ikke geninstalleres... nogensinde)


Med venlig hilsen
\\Mikkel Gjøl

---

Mikkel Gjoel <gjoel@nerd.dk> skrev:
> ...mon ikke du bare mangler at compile det ind i kernen?

Det er da absolut muligt.. hvordan kan jeg mon se efter om det ér derinde?

Det er en RedHat 7.0 jeg har, og jeg valgte at lave en custom install,
og valgte derefter at alt skulle inkluderes.

Mvh. Finn Donati

---

Mikkel Gjoel <gjoel@nerd.dk> wrote:

>...mon ikke du bare mangler at compile det ind i kernen?
>IP-forwarding og tilhørende skal være en del af kernen, før du kan bruge
>ipchains og ip-chains - og dette er som oftest ikke en standard del af
>linux-distro'erne

Jeg har brugt RedHat siden 5.1. Kører nu 6.2. I samtlige
mellemliggende versioner har ip-forwarding været med i
standard-kernen. Jeg vil gå så langt som at sige, at stort set _alt_
er en del af standard-kernen i RH, om ikke andet så i form af moduler.


--
Allan Olesen, Lunderskov

"UNIX er overflødigt." - Lars P. Fischer