Routing mit iptables

Martin Wilz martin at fs.spinfo.uni-koeln.de
Mo Jan 29 12:28:18 CET 2001


Hallo Dirk,

Ich bin zur Zeit auch ein wenig verwirrt, was die API von netfilter
(iptables) angeht, schreibe aber trotzdem Mal. Zum einen ist die man-page
von IP-Filter nicht sehr praxisorientiert ist (Es fehlen einfach die
Beispiele) zum anderen gibt es im Netz einige Quellen, die anscheinend
wiederspruechlich sind. Wo ich letztendlich fuendig geworden bin ist der
Linux 2.4 Packet Filtering HOWTO, der aber anscheinend mit Vorsicht zu
geniessen ist.(siehe URL)

http://netfilter.kernelnotes.org/unreliable-guides/packet-filtering-HOWTO.html

Insbesondere Punkt 9 duerfte Dich interessieren. Das war dann auch der
Punkt, wo ich nach langer Suche endlich ein Erfolgserlebnis hatte.

Ansonsten:
Ich bekomme das Masquerading mit der folgenden Befehlsfolge hin, wobei ich
direkt auf das ppp0 device gehe (Ich habe die Adressen schon mal auf das
Netzwerk angepasst, dass ich aus Deiner Beschreibung zu erkennen versucht
habe). Kommentare von beleseneren Usern erwuenscht.

	#Masquerading
        echo "1" > /proc/sys/net/ipv4/ip_forward

	#Pakete von draussen nicht in die Verarbeitung reinlassen (habe
	#ich mich selber mal dran versucht, keine Ahnung ob es wirkt ;-)
	        
	iptables -A INPUT -s ! 192.168.1.0/8 -d 192.168.1.0/8 -j DROP

	#Und dann noch die Regel fuer das Masquerading
	#wobei laut Man-Page Masquerading nur fuer Targets mit dynamischen
	#IP-Adressen vergeben werden soll. -> wenn statisch (sollte man
	#bei Device =eth1 von ausgehen), soll man wohl SNAT verwenden.
	#Muesstest Du noch mal rumprobieren.

	iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

> Das Subnetz ist 192.168.1.0. Alles, was von dort (eth0) kommt, soll auf
> dem Rechner 192.168.1.3 nach 0.0.0.0 bzw. eth1 umgeleitet werden.


> Da die HOWTOs dazu alle (ab Kernel 2.2) ipchains benutzen, habe ich es
> zuerst damit probiert, aber damit erhalte ich immer: protocol not
> available. Also iptables, ist ja eh neuer.

Ich meine gehoert zu haben, dass man fuer 2.4er Kernel IPchains
entsprechend kompilieren kann/muss.

Bis dann,
Martin





Mehr Informationen über die Mailingliste Linux-Users