Sie sind nicht angemeldet.

[gelöst] IP Forwarding funktioniert nicht

  • 1
  • 2

Regidür

Profi

  • »Regidür« ist der Autor dieses Themas

Beiträge: 809

  • Nachricht senden

1

03.03.2011, 21:22

IP Forwarding funktioniert nicht

Hi,
ich habe einen X-losen Gentoohomeserver ( 2.6.36-gentoo-r5), der v.a. als File- und Mediaserver genutzt wird.
Da wir wohnortbedingt auf UMTS angewiesen sind, habe ich einen O2-Stick, der über so ein Hardwarerouterlein mehr schelcht als recht funktioniert. Da der Stick im Homeserver super funktioniert (sich nicht ständig ausloggt und so was), wollte ich den Server als Router benutzen.
Leider zuckt das bis jetzt nicht.
Auf dem Rechner funktioniert der Internetzugang wunderbar, die anderen Rechner kommen über ihn aber nicht ins Netz. (im LAN geht alles, Samba, nfs, ping, etc.)
Ich bin nach dem englischen Router-Howto vorgegangen.
Was kann ich noch checken?

Rüdiger

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »Regidür« (21.06.2011, 16:59)

Regidür

Profi

  • »Regidür« ist der Autor dieses Themas

Beiträge: 809

  • Nachricht senden

2

04.03.2011, 12:23

Kann mir jemand die erforderlichen Kerneloptionen auf config.gz -Ebene geben, damit ich das mal checken kann?

Rüdiger

bell

Erleuchteter

  • »bell« ist männlich

Beiträge: 3 128

  • Nachricht senden

3

04.03.2011, 12:41

Kennst Du schon dieses Howto? http://www.gentoo.org/doc/de/home-router-howto.xml
Die Sachen mit dem Modem kannst Du weglassen. Die Verbindung zum WAN hast Du ja schon. Den Rest kannst Du gut verwenden.
Auch wenn Open-Source kostenlos ist, ist sie nicht umsonst. Dein Preis ist Dein Engagement und Mitarbeit an OS-Projekten.
Wenn Du keinen Preis bezahlen willst, bist Du die Ware. Und das ist nicht Open Source, geschweigedenn frei.

Regidür

Profi

  • »Regidür« ist der Autor dieses Themas

Beiträge: 809

  • Nachricht senden

4

04.03.2011, 12:44

hier ist mein routing:

Quellcode

 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35

# Generated by iptables-save v1.4.10 on Fri Mar  4 13:39:00 2011
nat

:PREROUTING ACCEPT [2092:177065]
:INPUT ACCEPT [1104:95060]
:OUTPUT ACCEPT [606:89067]
:POSTROUTING ACCEPT [830:109600]
COMMIT
# Completed on Fri Mar  4 13:39:00 2011
# Generated by iptables-save v1.4.10 on Fri Mar  4 13:39:00 2011

*mangle
:PREROUTING ACCEPT [3953561:4306229783]
:INPUT ACCEPT [3950403:4305919633]
:FORWARD ACCEPT [3145:308867]
:OUTPUT ACCEPT [3773367:3410361600]
:POSTROUTING ACCEPT [3776390:3410773082]
COMMIT
# Completed on Fri Mar  4 13:39:00 2011
# Generated by iptables-save v1.4.10 on Fri Mar  4 13:39:00 2011
*filter
:INPUT ACCEPT [1080:178599]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [3758328:3408648723]
-A INPUT -i Io -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT ! -i eth0 -p udp -m udp --dport 67 -j REJECT --reject-with icmp-port-unreachable
-A INPUT ! -i eth0 -p udp -m udp --dport 53 -j REJECT --reject-with icmp-port-unreachable
-A INPUT ! -i eth0 -p udp -m udp --dport 0:1023 -j DROP
-A INPUT ! -i eth0 -p tcp -m tcp --dport 0:1023 -j DROP
-A FORWARD -d 192.168.0.0/16 -i eth0 -j DROP
-A FORWARD -s 192.168.0.0/16 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.0.0/16 -i ppp0 -j ACCEPT
COMMIT
# Completed on Fri Mar  4 13:39:00 2011


Ist hier was erkennbar falsch, widersprüchlich oder fehelend? Eth0 ist die Netzwerkkarte, sie geht auf einen switch. An dem hängen die anderen Rechner und auch der normalerweise benutze WLAN + LAN Router.

Rüdiger

bell

Erleuchteter

  • »bell« ist männlich

Beiträge: 3 128

  • Nachricht senden

5

04.03.2011, 13:01

Mal abgesehen davon, dass die Firewall nahezu nicht schützt, sehe ich dass Du keine Masquerade-Rule hast.
Diese müsste unter *nat auftauchen:

Quellcode

 
1
2

:POSTROUTING ACCEPT [3829:258890]
-A POSTROUTING -o ppp0 -j MASQUERADE


Diese kriegst Du mit

Quellcode

 
1

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
Auch wenn Open-Source kostenlos ist, ist sie nicht umsonst. Dein Preis ist Dein Engagement und Mitarbeit an OS-Projekten.
Wenn Du keinen Preis bezahlen willst, bist Du die Ware. Und das ist nicht Open Source, geschweigedenn frei.

Regidür

Profi

  • »Regidür« ist der Autor dieses Themas

Beiträge: 809

  • Nachricht senden

6

20.06.2011, 08:32

Hallo,
ich habe mich nochmal daran versucht. Ich habe die die Regeln noch mal gelöscht und peinlich nach dem Home-Router-Howto die Einstellungen vorgenommen. Nach wie vor können die Netzrechner zwar auf den Rechner, nicht aber aufs Internet zugreifen: der Rechner mit dem Stick ist aber online.

Kann ich irgendwie eindeutig feststellen, ob es am Kernel liegt? Welche Minimalkonfiguration muß vorhanden sein, die ich über cat /proc/config.gz checken kann?

Viele Grüße,
Rüdiger

bell

Erleuchteter

  • »bell« ist männlich

Beiträge: 3 128

  • Nachricht senden

7

20.06.2011, 10:17

Ist bei Dir das Forwarding überhaupt aktiv?

Quellcode

 
1
2

cat /proc/sys/net/ipv4/ip_forward      # sollte 1 sein, sonst
echo 1 > /proc/sys/net/ipv4/ip_forward


Dauerhaft kannst Du diese Einstellung in der /etc/sysctl.conf setzen:

Quellcode

 
1

net.ipv4.ip_forward = 1


An sonsten, wie sieht dein Routing aktuell aus?
Auch wenn Open-Source kostenlos ist, ist sie nicht umsonst. Dein Preis ist Dein Engagement und Mitarbeit an OS-Projekten.
Wenn Du keinen Preis bezahlen willst, bist Du die Ware. Und das ist nicht Open Source, geschweigedenn frei.

Regidür

Profi

  • »Regidür« ist der Autor dieses Themas

Beiträge: 809

  • Nachricht senden

8

20.06.2011, 12:58

Hi,
jetzt habe ich doch glatt vergessen, wie ich an die Ausgabe von Posting #4 gekommen bin. Grmpf.

Jedenfalls habe ich die Anweisungen aus dem Home Router How-To umgesetzt. Ip-forward ist 1.

Quellcode

 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

EG-Server ~ # iptables -vL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination 
  294 28756 ACCEPT     all  --  lo     any     anywhere             anywhere    
 6789  564K ACCEPT     all  --  eth0   any     anywhere             anywhere    
    0     0 REJECT     udp  --  !eth0  any     anywhere             anywhere            udp dpt:bootps reject-with icmp-port-unreachable
    0     0 REJECT     udp  --  !eth0  any     anywhere             anywhere            udp dpt:domain reject-with icmp-port-unreachable
    0     0 DROP       tcp  --  !eth0  any     anywhere             anywhere            tcp dpts:0:1023
    0     0 DROP       udp  --  !eth0  any     anywhere             anywhere            udp dpts:0:1023

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination 
    0     0 DROP       all  --  eth0   any     anywhere             192.168.0.0/16
    0     0 ACCEPT     all  --  eth0   any     192.168.0.0/16       anywhere    
    0     0 ACCEPT     all  --  ppp0   any     anywhere             192.168.0.0/16

Chain OUTPUT (policy ACCEPT 2585 packets, 963K bytes)
 pkts bytes target     prot opt in     out     source               destination


und

Quellcode

 
1
2
3
4
5
6
7
8
9
10
11
12
13

EG-Server ~ # iptables -t nat -vL
Chain PREROUTING (policy ACCEPT 36 packets, 4928 bytes)
 pkts bytes target     prot opt in     out     source               destination 

Chain INPUT (policy ACCEPT 36 packets, 4928 bytes)
 pkts bytes target     prot opt in     out     source               destination 

Chain OUTPUT (policy ACCEPT 344 packets, 25919 bytes)
 pkts bytes target     prot opt in     out     source               destination 

Chain POSTROUTING (policy ACCEPT 304 packets, 23119 bytes)
 pkts bytes target     prot opt in     out     source               destination 
   40  2800 MASQUERADE  all  --  any    ppp0    anywhere             anywhere


Welche Infos braucht man noch?

Rüdiger

bell

Erleuchteter

  • »bell« ist männlich

Beiträge: 3 128

  • Nachricht senden

9

20.06.2011, 13:10

Wie sieht denn Dein Routing auf den Rechnern aus?

Auf dem Home-Server muss das Default-Gateway auf ppp0 zeigen (sollte automatisch so sein)
Auf den anderen Rechnern muss der Home-Server als Default-Gateway eingetragen sein.

Poste mal

Quellcode

 
1

route -n
von beiden Rechnern. (Bei Windows "route print")
Auch wenn Open-Source kostenlos ist, ist sie nicht umsonst. Dein Preis ist Dein Engagement und Mitarbeit an OS-Projekten.
Wenn Du keinen Preis bezahlen willst, bist Du die Ware. Und das ist nicht Open Source, geschweigedenn frei.

Regidür

Profi

  • »Regidür« ist der Autor dieses Themas

Beiträge: 809

  • Nachricht senden

10

20.06.2011, 14:30

Hi,
ein kleiner Erfolg: ich kann die 'local IP address' des Sticks vom Client aus anpingen. Browser geht noch nicht. Ich nehme an, dass der DNS-Server des alten Routers (192.168.0.1) nun nicht mehr gefunden wird. Da der Router wegen WLAN-Empfang weiter im Netz bleiben soll, wäre die Frage, ob man den weiter nutzt oder besser DNS auch auf 192.168.0.76 installiert?

Server:

Quellcode

 
1
2
3
4
5
6

CONNECT
--> Carrier detected.  Starting PPP immediately.
--> Starting pppd at Mon Jun 20 15:12:14 2011
--> Pid of pppd: 2271
--> Using interface ppp0
--> local  IP address 10.50.204.228


als Gateway werden sowohl ppp0 als auch eth0 (192.168.0.1) angezeigt.

Client:

Quellcode

 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29

Lummerland ~ # ping -c3 192.168.0.76
PING 192.168.0.76 (192.168.0.76) 56(84) bytes of data.
64 bytes from 192.168.0.76: icmp_req=1 ttl=64 time=0.999 ms
64 bytes from 192.168.0.76: icmp_req=2 ttl=64 time=0.181 ms
64 bytes from 192.168.0.76: icmp_req=3 ttl=64 time=0.183 ms

--- 192.168.0.76 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2003ms
rtt min/avg/max/mdev = 0.181/0.454/0.999/0.385 ms
Lummerland ~ # route -n
Kernel IP Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
192.168.0.0     0.0.0.0         255.255.255.0   U     202    0        0 eth0
127.0.0.0       127.0.0.1       255.0.0.0       UG    0      0        0 lo
0.0.0.0         192.168.0.76    0.0.0.0         UG    2      0        0 eth0

Lummerland ~ # ping 10.50.204.228
PING 10.50.204.228 (10.50.204.228) 56(84) bytes of data.
64 bytes from 10.50.204.228: icmp_req=1 ttl=64 time=0.192 ms
64 bytes from 10.50.204.228: icmp_req=2 ttl=64 time=0.192 ms
64 bytes from 10.50.204.228: icmp_req=3 ttl=64 time=0.183 ms
64 bytes from 10.50.204.228: icmp_req=4 ttl=64 time=0.175 ms
64 bytes from 10.50.204.228: icmp_req=5 ttl=64 time=0.183 ms
64 bytes from 10.50.204.228: icmp_req=6 ttl=64 time=0.178 ms
64 bytes from 10.50.204.228: icmp_req=7 ttl=64 time=0.197 ms
^C
--- 10.50.204.228 ping statistics ---
7 packets transmitted, 7 received, 0% packet loss, time 5999ms
rtt min/avg/max/mdev = 0.175/0.185/0.197/0.017 ms


Viele Grüße,
Rüdiger

bell

Erleuchteter

  • »bell« ist männlich

Beiträge: 3 128

  • Nachricht senden

11

20.06.2011, 15:06

Versuche eine externe IP anzupingen (zB. 80.237.132.104 = dieses Forum)
Trage bei den Clients den selben DNS-Server ein, den der Router bei der UMTS-Verbindung bekommen hat. (Siehe /etc/resolv.conf)
Auch wenn Open-Source kostenlos ist, ist sie nicht umsonst. Dein Preis ist Dein Engagement und Mitarbeit an OS-Projekten.
Wenn Du keinen Preis bezahlen willst, bist Du die Ware. Und das ist nicht Open Source, geschweigedenn frei.

Regidür

Profi

  • »Regidür« ist der Autor dieses Themas

Beiträge: 809

  • Nachricht senden

12

20.06.2011, 17:06

Also, das anpingen der Forums-IP-Nummer geht.
Den anderen Teil verstehe ich nicht ganz. Meinst Du die nameserver, die net-scripts in die /etc/resolv.conf des Servers schreibt?
Server:

Quellcode

 
1
2
3

# Generated by net-scripts for interface eth0
nameserver 193.189.244.225
nameserver 193.189.244.206

Der alte Router (192.168.0.1) steht nach wie vor in der /etc/resolv.conf des Clients, und damit geht es nicht!
Und, da die Clients mit dhpcd ins Netz gehen, wie stelle ich es an, dass dem Client diese server in die /etc/resolv.conf geschrieben werden?
Immer vorausgesetzt, ich habe es richtig verstanden, und die UMTS-nameserver werden nicht auch dynamisch vergeben...

Viele Grüße,
Rüdiger

bell

Erleuchteter

  • »bell« ist männlich

Beiträge: 3 128

  • Nachricht senden

13

20.06.2011, 17:30

Jetzt stehe ich etwas auf dem Schlauch.
Du hast einen "alten" Router, der noch die IPs vergibt.
Du hast einen "neuen" Router, der UMTS-Internet zur Verfügung stellt.

Wie schaltest Du zwischen dem alten und neuen Router auf den Clients um?

Sind die DNS-Server wirklich vom UMTS-Provider oder sind es noch welche, die von der "alten" Verbindung stammen?
<Hier> sind einige DNS-Server der UMTS-Provider aufgelistet.

Du kannst in die /etc/conf.d/net des Clients folgendes eintragen:

Quellcode

 
1

dns_servers_eth0="193.189.244.225 193.189.244.206"
Damit sind diese DNS-Server schonmal dabei.
Kannst auch testweise diese in die /etc/resolv.conf manuell eintragen.
Auch wenn Open-Source kostenlos ist, ist sie nicht umsonst. Dein Preis ist Dein Engagement und Mitarbeit an OS-Projekten.
Wenn Du keinen Preis bezahlen willst, bist Du die Ware. Und das ist nicht Open Source, geschweigedenn frei.

Regidür

Profi

  • »Regidür« ist der Autor dieses Themas

Beiträge: 809

  • Nachricht senden

14

20.06.2011, 18:10

Ich muß vielleicht dazu ein bißchen ausholen.

Nachdem uns letztes Jahr unser 'richtiger' ISP mitgeteilt hat, dass an unserem Anschluß technisch kein DSL mehr möglich ist, (weil der nächste Knoten zu weit entfernt sei, und neue Häuser gebaut wurden, die wohl jetzt an der Leitung knabbern), habe ich einen O2 Stick. O2 selbst hat oder hatte damals keinen Router mit im Bundle, es gibt aber einen Anbieter, der einen O2-fähgien Router vertreibt. Der stammt von Dovado, und funktioniert eben nicht richtig: häufig setzt die Verbindung aus, dann kann es sein, dass man Stunden (!) beschäftigt ist, die Verbindung wieder ans Laufen zu bringen. Seit 3 Tagen gelingt es mir gar nicht mehr.
Mit meinem Windows Laptop oder dem Homeserver solo funktioniert der Stock klaglos.

Daher die Idee, den Stick mit dem Homeserver zu betreiben. Später, wenn alles klappt, einen Kleinenergierechner nur für's Routen und I-net-Zugang aufbauen. Physikalisch habe ich gar nichts verändert, sondern ich stecke den Stick in den Server und versuche, mit den Clients darauf zuzugreifen


Quellcode

 
1
2
3
4

Router (192.168.0.1)  ------- Switch ------ Homeserver (192.168.0.76)
|----------Laptop (Wlan)               |------Client 2
|-----------Client 1                        '------Client 3
'-----------Hausdrucker


Bislang sitzen die DHCP und DNS Server im Router

Bis jetzt habe ich den default gateway der clients auf 192.168.0.76 geändert, und kann externe IP's anpingen, wenn 192.168.076 mit dem Stick online ist, aber nicht unter ihrem Domain Namen.
Mit dem testweisen Eintrage der DNS-Adressen in die /etc/resolv.conf hat die Auflösung nicht funktioniert!



Viele Grüße,
Rüdiger

bell

Erleuchteter

  • »bell« ist männlich

Beiträge: 3 128

  • Nachricht senden

15

20.06.2011, 21:40

Zitat von »Regidür«

Mit dem testweisen Eintrage der DNS-Adressen in die /etc/resolv.conf hat die Auflösung nicht funktioniert!
Ich hoffe, Du hast die DNS-Server auf den Clients eingetragen und nicht auf dem Server. An sonsten fällt mir nichts ein, warum es nicht funktionieren sollte.

Versuche mal ohne die Firewall. Der einzige Eintrag den Du brauchst , damit es funktioniert, ist der MASQUERADE Eintrag. Das Routing muss natürlich auch aktiv sein.
Ein vernünftiges Firewall-Skript zu bauen wäre dann ein eigenes Thema Wert. Eventuell solltest Du Dir einfach ein Skript generieren lassen. Tools dafür gibt es zu Genüge:

Quellcode

 
1

eix -C firewall -S iptables
Auch wenn Open-Source kostenlos ist, ist sie nicht umsonst. Dein Preis ist Dein Engagement und Mitarbeit an OS-Projekten.
Wenn Du keinen Preis bezahlen willst, bist Du die Ware. Und das ist nicht Open Source, geschweigedenn frei.

Regidür

Profi

  • »Regidür« ist der Autor dieses Themas

Beiträge: 809

  • Nachricht senden

16

20.06.2011, 23:27

Ich habe jetzt den Router mal ganz aus der Kette genommen und die Rechner mit festen IPs ausgestattet. Außerdem auf dem Client die nameserver in /etc/conf.d/net eingetragen. Alle itables-Regeln ausser MASQUERADE gelöscht. Das gleiche Bild: ping www.google.de vom Server aus klappt, vom Client aus 'unknown host', IP-Nummern lassen sich anpingen.

Nachdem der Router wieder eingeschaltet ist, findet er keinen einzigen LAN-Recher mehr, so daß ich gerade keine Ausgaben der Linuxrechner mehr posten kann (Homeserver ist ohne GUI). Klar, ist ja auch 6 Monate und zwei Wochen alt.... :whistling:


Rüdiger

Regidür

Profi

  • »Regidür« ist der Autor dieses Themas

Beiträge: 809

  • Nachricht senden

17

21.06.2011, 00:13

So, hier nochmal alle Infos.
ifconfig beim Server:

Quellcode

 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

eth0      Link encap:Ethernet  HWaddr bc:ae:c5:18:d0:47  
          inet addr:192.168.0.76  Bcast:192.168.0.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:8238 errors:0 dropped:0 overruns:0 frame:0
          TX packets:14326 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:935069 (913.1 KiB)  TX bytes:1695006 (1.6 MiB)
          Interrupt:40 

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:397 errors:0 dropped:0 overruns:0 frame:0
          TX packets:397 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:37720 (36.8 KiB)  TX bytes:37720 (36.8 KiB)

ppp0      Link encap:Point-to-Point Protocol  
          inet addr:10.173.49.181  P-t-P:10.64.64.64  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:55 errors:0 dropped:0 overruns:0 frame:0
          TX packets:55 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3 
          RX bytes:4646 (4.5 KiB)  TX bytes:3675 (3.5 KiB)

iptables -t nat -vL

Quellcode

 
1
2
3
4
5
6
7
8
9
10
11
12

Chain PREROUTING (policy ACCEPT 369 packets, 24204 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain INPUT (policy ACCEPT 41 packets, 2980 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 52 packets, 4819 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 8 packets, 1548 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   44  3271 MASQUERADE  all  --  any    ppp0    anywhere             anywhere

/etc/conf.d/net:

Quellcode

 
1
2
3
4
5

#config_eth0=( "dhcp" )
config_eth0=( "192.168.0.76 broadcast 192.168.0.255 netmask 255.255.255.0" )
#routes_eth0=( "default gw 192.168.0.1" )
#dns_servers_eth0=( "192.168.0.1" )
ifdown_eth0=NO


/etc/resolv.conf

Quellcode

 
1
2
3

# Generated by net-scripts for interface eth0
nameserver 193.189.244.225
nameserver 193.189.244.206


(wird automatisch eingetragen)

Client:
ifconfig:

Quellcode

 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27

eth0      Protokoll:Ethernet  Hardware Adresse 00:e0:18:f6:c8:e7  
          inet Adresse:192.168.0.136  Bcast:192.168.0.255  Maske:255.255.255.0
          inet6 Adresse: fe80::2e0:18ff:fef6:c8e7/64 Gültigkeitsbereich:Verbindung
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:53169 errors:0 dropped:0 overruns:0 frame:0
          TX packets:43043 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:1000 
          RX bytes:6603476 (6.2 MiB)  TX bytes:4402371 (4.1 MiB)
          Interrupt:10 

lo        Protokoll:Lokale Schleife  
          inet Adresse:127.0.0.1  Maske:255.0.0.0
          inet6 Adresse: ::1/128 Gültigkeitsbereich:Maschine
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:399 errors:0 dropped:0 overruns:0 frame:0
          TX packets:399 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:0 
          RX bytes:46401 (45.3 KiB)  TX bytes:46401 (45.3 KiB)

sit0      Protokoll:IPv6-nach-IPv4  
          inet6 Adresse: ::127.0.0.1/96 Gültigkeitsbereich:Unbekannt
          inet6 Adresse: ::192.168.0.136/96 Gültigkeitsbereich:Kompatibilität
          UP RUNNING NOARP  MTU:1480  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:0 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

/etc/conf.d/net

Quellcode

 
1
2
3
4
5

#config_eth0=( "dhcp" )
config_eth0=( "192.168.0.136/24" )
ifdown_eth0="no"
routes_eth0=( "default gw 192.168.0.76" )
dns_servers_eth0="193.189.244.225 193.189.244.206"


/etc/resolv.conf

Quellcode

 
1
2
3

# Generated by net-scripts for interface eth0
nameserver 193.189.244.225
nameserver 193.189.244.206


Bei faqs.org habe ich geschaut, ob ich benötigten alle Kernelmodule an Bord habe, bis auf MATCH_LIMIT, das ich ja nicht einsetze, habe ich alles.

Wenn jemand noch einen Fehler findet, gerne. Ich bin erst mal am Ende meiner überschaubaren Weisheit...

Rüdiger

bell

Erleuchteter

  • »bell« ist männlich

Beiträge: 3 128

  • Nachricht senden

18

21.06.2011, 10:18

Sind die Module (insbesondere ipt_MASQUERADE iptable_nat nf_nat nf_conntrack nf_conntrack_ipv4) auch geladen?

Kommt beim Versuch irgend was in den Logs auf dem Server an?

Quellcode

 
1

tail -f /var/log/messages
Auch wenn Open-Source kostenlos ist, ist sie nicht umsonst. Dein Preis ist Dein Engagement und Mitarbeit an OS-Projekten.
Wenn Du keinen Preis bezahlen willst, bist Du die Ware. Und das ist nicht Open Source, geschweigedenn frei.

Regidür

Profi

  • »Regidür« ist der Autor dieses Themas

Beiträge: 809

  • Nachricht senden

19

21.06.2011, 11:26

Hi,
die einzigen Module sind die für den UMTS-Stick (weil es anders nicht funktionierte), der Rest ist inline.

Im Log kommt nichts an, in iptables habe ich ja auch kein logging eingeschaltet. Wie kann ich denn geNATette Pakete loggen?

Rüdiger

EDIT: Im Übrigen geht plötzlich das externe pingen auch nicht mehr, nachdem ich alles bis auf MASQUERADE aus iptables entfernt habe. Muß ich wirklich nicht noch alles auf ACCEPT setzen?

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »Regidür« (21.06.2011, 11:31)

bell

Erleuchteter

  • »bell« ist männlich

Beiträge: 3 128

  • Nachricht senden

20

21.06.2011, 11:47

Ich dachte, eventuell schlagen irgend welche Fehler auf.

Log mal alles mit, was irgendwie mit DNS zu tun hat oder "invalid" ist:

Quellcode

 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35

iptables -A INPUT   -m state --state INVALID -j LOG  --log-prefix "INV_INP:"
iptables -A FORWARD -m state --state INVALID -j LOG  --log-prefix "INV_FWD:"
iptables -A OUTPUT  -m state --state INVALID -j LOG  --log-prefix "INV_OUT:"

iptables -t nat -A POSTROUTING -m state --state INVALID -j LOG  --log-prefix "INV_SNAT:"
iptables -t nat -A PREROUTING  -m state --state INVALID -j LOG  --log-prefix "INV_DNAT:"


iptables -A INPUT -p tcp --dport 53 -j LOG  --log-prefix "D_TCP_INP:"
iptables -A FORWARD -p tcp --dport 53 -j LOG  --log-prefix "D_TCP_FWD:"
iptables -A OUTPUT  -p tcp --dport 53 -j LOG  --log-prefix "D_TCP_OUT:"

iptables -t nat -p tcp --dport 53 -A POSTROUTING -j LOG  --log-prefix "D_TCP_SNAT:"
iptables -t nat -p tcp --dport 53 -A PREROUTING  -j LOG  --log-prefix "D_TCP_DNAT:"

iptables -A INPUT -p udp --dport 53 -j LOG  --log-prefix "D_UDP_INP:"
iptables -A FORWARD -p udp --dport 53 -j LOG  --log-prefix "D_UDP_FWD:"
iptables -A OUTPUT  -p udp --dport 53 -j LOG  --log-prefix "D_UDP_OUT:"

iptables -t nat -p udp --sport 53 -A POSTROUTING -j LOG  --log-prefix "D_UDP_SNAT:"
iptables -t nat -p udp --sport 53 -A PREROUTING  -j LOG  --log-prefix "D_UDP_DNAT:"

iptables -A INPUT -p tcp --sport 53 -j LOG  --log-prefix "S_TCP_INP:"
iptables -A FORWARD -p tcp --sport 53 -j LOG  --log-prefix "S_TCP_FWD:"
iptables -A OUTPUT  -p tcp --sport 53 -j LOG  --log-prefix "S_TCP_OUT:"

iptables -t nat -p tcp --sport 53 -A POSTROUTING -j LOG  --log-prefix "S_TCP_SNAT:"
iptables -t nat -p tcp --sport 53 -A PREROUTING  -j LOG  --log-prefix "S_TCP_DNAT:"

iptables -A INPUT -p udp --sport 53 -j LOG  --log-prefix "S_UDP_INP:"
iptables -A FORWARD -p udp --sport 53 -j LOG  --log-prefix "S_UDP_FWD:"
iptables -A OUTPUT  -p udp --sport 53 -j LOG  --log-prefix "S_UDP_OUT:"

iptables -t nat -p udp --sport 53 -A POSTROUTING -j LOG  --log-prefix "S_UDP_SNAT:"
iptables -t nat -p udp --sport 53 -A PREROUTING  -j LOG  --log-prefix "S_UDP_DNAT:"
Auch wenn Open-Source kostenlos ist, ist sie nicht umsonst. Dein Preis ist Dein Engagement und Mitarbeit an OS-Projekten.
Wenn Du keinen Preis bezahlen willst, bist Du die Ware. Und das ist nicht Open Source, geschweigedenn frei.
  • 1
  • 2

Ähnliche Themen

Häufig verwendete Suchbegriffe:

www.my-echo.de mobile-parts-discount.net Andere Architekturen Lob & Kritik Gentoo Linux bka trojaner finden Emerge Probleme softwaregarage.de Drucker Linux Computer und Notebooks