Guten Abend Leute,
für mein Server, den ich auch als Gateway auslegen kann, wollte ich eine Firewall mit iptables erstellen(schon erledigt, aber nicht perfekt), die leider Probleme bereite bei der Namens-Auflösung. Nun versuche ich Stück für Stück diesem problem auf die Spur zu kommen.
Mein Server steht jetzt z.b. zwischen einer Workstation und einem DSL-Router, also er ist zwischen zwei Sub-Netzten. Diese Sub-Netze können sich sehen. Vom Server kann ich ins Internet pingen, z.b. <ping arcor.de>, von der workstation allerdings nicht, bzw. ich bekomme eine negative Antwort zurück, allerdings wird in der negativen Antwort auch die IP von arcor.de erwähnt. Ich glaube die IP kommt vom Server, also nicht direkt von arcor.de. Mein DSL-Router läßt sich von der Workstation an-pingen und bekomme auch eine positive Antwort. Was mich verwundert hat, war das das icmp Packet nicht in die FORWARD Kette geht, sondern erst in die INPUT und dann in die OUTPUT.
Ist das bei Euch auch so?
Weiterhin würde mich interessieren ob ich für so ein Gateway zwischen zwei lokalen Sub-Netzten ein Masquerading benötige? Immerhin macht dies mein DSL-Router ja schon ins Internet und außerdem weiß ich nicht ob das DSL-Modem sonst die Packete einwandfrei zu den Workstations im Sub-Netz hinter dem Gateway geroutet bekommt?
Grüße Markus
NAT auf einem Gateway?
Re: NAT auf einem Gateway?
Hi,
hast du das forwarding auf dem Gateway aktiviert?
hast du das forwarding auf dem Gateway aktiviert?
Roland
"Aber wenn du schon so unwissend bist, davon noch nicht gehört zu haben,
so will ich es doch als gut ansehen, daß du lieber einmal töricht fragst,
als weiterhin nichts von etwas zu wissen, das man doch wissen sollte."
aus "Die Edda des Snorri Sturluson", "Gylfis Täuschung"
"Aber wenn du schon so unwissend bist, davon noch nicht gehört zu haben,
so will ich es doch als gut ansehen, daß du lieber einmal töricht fragst,
als weiterhin nichts von etwas zu wissen, das man doch wissen sollte."
aus "Die Edda des Snorri Sturluson", "Gylfis Täuschung"
-
DynaBlaster
- Beiträge: 958
- Registriert: 25.03.2004 18:18:57
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: DF0://dynablaster.adf
Re: NAT auf einem Gateway?
DSL-Router ---- DEBIAN ------ Workstation
Wenn du von der Workstation aus den DSL-Router anpingen kannst und die DNS-Auflösung klappt (vermutlich löst die Workstation die IP von arcor.de ja über den DNS-Server des DSL-Routers auf), würde ich ein Routing-Problem und damit auch NAT (SNAT oder MASQUERADE) erstmal ausschließen. Die Kommunikation zwischen beiden Netzen klappt ja.
Wie sehen denn die iptables-Regeln auf dem Debian für die Forward-Chain aus. Ich würde bei deiner Verhaltensbeschreibung darauf tippen, dass du in der FORWARD-Chain die Kommunikation irgendwie auf die die angeschlossenen Subnetze beschränkst. Und wenn dann ein anderes Netz wie das Internet hinzukommt, wird zwar die IP-Adresse richtig aufgelöst (der befragte DNS-Server steht ja in einem der beiden Netze), aber der Weg vom oder in das dritte Netz wird geblockt.
Wenn du von der Workstation aus den DSL-Router anpingen kannst und die DNS-Auflösung klappt (vermutlich löst die Workstation die IP von arcor.de ja über den DNS-Server des DSL-Routers auf), würde ich ein Routing-Problem und damit auch NAT (SNAT oder MASQUERADE) erstmal ausschließen. Die Kommunikation zwischen beiden Netzen klappt ja.
Wie sehen denn die iptables-Regeln auf dem Debian für die Forward-Chain aus. Ich würde bei deiner Verhaltensbeschreibung darauf tippen, dass du in der FORWARD-Chain die Kommunikation irgendwie auf die die angeschlossenen Subnetze beschränkst. Und wenn dann ein anderes Netz wie das Internet hinzukommt, wird zwar die IP-Adresse richtig aufgelöst (der befragte DNS-Server steht ja in einem der beiden Netze), aber der Weg vom oder in das dritte Netz wird geblockt.
Defintiv nein. Normales Routing reicht. Efach eine statische Route für das zweite Netz über den Debian-Rechner auf dem DSL-Router anlegen und fertig.Weiterhin würde mich interessieren ob ich für so ein Gateway zwischen zwei lokalen Sub-Netzten ein Masquerading benötige?