ipchains

Ivo.Panacek na regionet.cz Ivo.Panacek na regionet.cz
Středa Listopad 4 12:15:24 CET 1998


Snazim se rozjet ipchains a potrebuji poradit. Prostudoval jsem jak
dokumentaci (man,howto), tak clanek v LN 98/03.
Vse se chova podle dokumentace, ipchains chodi, loguji pakety, pocitaji
je ...
Ale pred vypustenim do realu jsem chtel vyzkouset MASQ takto: dvema
jinym strojum
na siti (oba RH5.1, 2.0.35) jsem nastavil vzajemny route pres tento
testovany (vratny)
(route add -host tendruhy gw vratny) a nastaly potize.
Sjel jsem tedy k minimalni konfiguraci ipchains:
ipchains -F
ipchains -X
logovani a pocitani paketu nekolika pravidly pro ty dva stroje
ipchains -P input ACCEPT
ipchains -P output ACCEPT
ipchains -P forward ACCEPT

No a tady se ukazalo, ze pakety spravne dorazi z obou stran, ale
pres Chain forward neprojde vubec nic a pres output jen veci, ktere
s tim nesouviseji, a taky to na cilovy stroj nedojde.
Zda se mi, ze se ty pakety nesnazi ani forwardovat. Neni tu problem,
ze by vlastne mel paket z eth0 poslat zase pres eth0 (nema vice karet)
a ze jsou uvnitr stejne IP site, takze to neforwarduje zamerne ?
Proveril jsem i tu variantu, ze oba cvicne stroje byly na ruznych IP
sitich
(a nedaly se spojit normalne) a vratny mel eth0 a eth0:0 ... zcela
stejne
chovani. Vzdy byl funkcni DNS server ze vsech stroju dostupny.
Pokud jsem oba stroje namiril na jiny gw (v siti jsou jeste
dva dalsi Linuxy) vse chodilo (2.0.35 jadro bez ipchains).
Da se nejak podrobneji sledovat, co se s paketem deje ? Jsou totiz
akceptovany,
ale neni jasne, KAM se pak dostanou a podle grafu z tech LN moc dalsich
moznosti nemaji.

Konfigurace:
RedHat 5.1 (cs), kernel 2.0.35 s patchem ipchains-patch-2.0.34 (pise se,
ze je ok i pro 2.0.35), nainstalovano ipchains-1.3.5-1.i386.rpm (z
contrib).
Kernel prelozen s:
CONFIG_FIREWALL=y
CONFIG_NET_ALIAS=y
CONFIG_INET=y
CONFIG_IP_FORWARD=y
CONFIG_IP_MULTICAST=y
CONFIG_SYN_COOKIES=y
CONFIG_IP_FIREWALL=y
CONFIG_IP_FIREWALL_CHAINS=y
CONFIG_IP_MASQUERADE=y
CONFIG_IP_MASQUERADE_ICMP=y
CONFIG_IP_TRANSPARENT_PROXY=y
CONFIG_IP_ALWAYS_DEFRAG=y
CONFIG_IP_ROUTER=y
CONFIG_NET_IPIP=m
CONFIG_IP_ALIAS=m

Diky za rady, Ivo
-- 
E-mail: Ivo.Panacek na regionet.cz
WWW:    http://ivop.regionet.cz
Mobile: +420 602 337776


Další informace o konferenci Linux