problem mit den iptables

[nixdorf]

hallo,

wenn ich

Code: Alles auswählen

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -o ippp0 -j MASQUERADE

auf meinem Debian-Rechner eingebe und danach

Code: Alles auswählen

iptables -L

ausführe erhalte ich immer noch

Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Woran kann das liegen?

Gruß Nixdorf

Edit by Snoopy:
Tags für die Leserlichkeit eingefügt.

[DynaBlaster]

Code: Alles auswählen

iptables -t nat -L

Gruss, DynaBlaster

[nepos]

Code: Alles auswählen

iptables -L

entspricht

Code: Alles auswählen

iptables -t filter -L

Die NAT-Tabelle musst du wie schon gesagt expliziet angeben. Sonst siehst du nur die Filter-Tabelle.

[nixdorf]

Ahh, da kann ich ja lange werten. Dann erhalte ich auch

Chain PREROUTING (policy ACCEPT)
target prot opt source destination

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- localhost/24 anywhere
MASQUERADE all -- localhost/24 anywhere
MASQUERADE all -- localhost/24 anywhere
MASQUERADE all -- localhost/24 anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

aber con meinen Clients aus komme ich immer noch nicht in das Internet. bind9 ist installiert und konfiguriet.

Code: Alles auswählen

echo 1 > /proc/sys/net/ipv4/ip_forward

ist auch ausgeführt.

Was kann ich denn noch vergessen haben?
ping routername klappt aber auch noch nicht. (von den clients)

Gruß Nixdorf

Edit by Snoopy:
Tags für die Leserlichkeit eingefügt.

[nepos]

Hm, dann liegts sicher nicht am iptables.
Kannst du den den Router ueber seine IP anpingen?
Passen die Routing-Eintraege? Ist dein Router Default-Gateway auf den Clients?
Wie schauts mit DNS aus, wie ist das auf den Clients konfigueriert?
Verteilst du die Client-IPs via DHCP vom Router aus? Da koenntest du naemlich auch gleich DNS-Infos und dergleichen mit uebergeben.

[DynaBlaster]

aber con meinen Clients aus komme ich immer noch nicht in das Internet. bind9 ist installiert und konfiguriet.

Ich würde dir dnsmasq als Ersatz für bind9 empfehlen. dnsmasq ist wesentlich leichter zu konfigurieren und hat ausserdem einen dhcp-Server gleich mit dabei - ebenfalls leicht zu konfigurieren.

Was nepos ja auch wissen wollte: poste mal bitte die Ausgaben von:

auf dem Router und auf den/dem Client(s):

Code: Alles auswählen

route -n

auf dem Router:

Code: Alles auswählen

ifconfig -a

und versuch mal, den Router über seine interne IP-Adresse vom Client anzupingen.

Klappt denn ein ping vom Router aus auf bespielsweise "www.debianforum.de" ?

[nixdorf]

Hallo,

auf dem Server

Code: Alles auswählen

debian:~# route -n
Kernel IP Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
10.0.0.2        0.0.0.0         255.255.255.255 UH    0      0        0 ippp1
145.253.1.185   0.0.0.0         255.255.255.255 UH    0      0        0 ippp0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
0.0.0.0         145.253.1.185   0.0.0.0         UG    0      0        0 ippp0

Ausgabe von

Code: Alles auswählen

debian:~# ifconfig -a

[1]

und auf dem Client

Code: Alles auswählen

server:~# route -n
Kernel IP Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
0.0.0.0         192.168.1.1     0.0.0.0         UG    0      0        0 eth0

Code: Alles auswählen

server:~# ifconfig -a
eth0      Protokoll:Ethernet  Hardware Adresse 00:A0:C9:CD:7A:F4
          inet Adresse:192.168.1.80  Bcast:192.168.1.255  Maske:255.255.255.0
          inet6 Adresse: fe80::2a0:c9ff:fecd:7af4/64 Gültigkeitsbereich:Verbindung
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:283 errors:0 dropped:0 overruns:0 frame:0
          TX packets:263 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:6 Sendewarteschlangenlänge:1000
          RX bytes:38272 (37.3 KiB)  TX bytes:17102 (16.7 KiB)

eth1      Protokoll:Ethernet  Hardware Adresse 4C:00:10:53:E6:1D
          BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:1000
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)
          Interrupt:11 Basisadresse:0xe000

lo        Protokoll:Lokale Schleife
          inet Adresse:127.0.0.1  Maske:255.0.0.0
          inet6 Adresse: ::1/128 Gültigkeitsbereich:Maschine
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:131 errors:0 dropped:0 overruns:0 frame:0
          TX packets:131 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:0
          RX bytes:7940 (7.7 KiB)  TX bytes:7940 (7.7 KiB)

sit0      Protokoll:IPv6-nach-IPv4
          NOARP  MTU:1480  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:0
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)

Gruß Nixdorf

[1] http://nopaste.debianforum.de/4255

Edit by Snoopy:
Tags für die Leserlichkeit eingefügt.Verschoben ins NoPaste [2]

[2] http://nopaste.debianforum.de/

[DynaBlaster]

Ui ui ui, viele Netzwerkkarten
Ich gehe jetzt davon aus, das du alles an dem Client 192.168.1.80 ausführst:

1) Antwort der Server bei: "ping 192.168.1.1" ?
2) Gibt es eine Antwort bei "ping 192.168.0.1" ?
3) Was ergibt "ping 213.239.213.245" ? (das ist die IP von http://www.debianforum.de)

und 4)

Code: Alles auswählen

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -o ippp0 -j MASQUERADE

muss

Code: Alles auswählen

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 0/0 -o ippp0 -j MASQUERADE

lauten, wenn du versuchst, von 192.168.1.80 ins Internet zu kommen

[DonSam]

Code: Alles auswählen

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -o ippp0 -j MASQUERADE

"ippp0" ist das Interface für ISDN. Falls du DSL/Modem zur Einwahl nutzt, muss es "ppp0" heißen.

Gruß
Sam

[nixdorf]

Hallo,

ping 213.239.213.245 geht jetzt,

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 0/0 -o ippp0 -j MASQUERADE

das hatte gefehlt für das 192.168.0 - network.

ping http://www.google.de klappt aber noch nicht.

Im Netz 192.168.0.0 klappt die Namensauflosung, da habe ich auch einen Laptop dran, und der kann DNS-Adressen auflösen.



Gruß Nixdorf

[nepos]

Tja, dann weisst du ja, wo du weitersuchen musst

[DynaBlaster]

Genau, 2 Möglichkeiten.

1) Der DNS-Dienst auf deinem Server lauscht nur auf eth0 und nimmt deshalb nur Anfragen aus dem Netz 192.168.0.0/24 an.

2) Du betreibst keinen eigenen DNS-Server und dein Labtop im Netz 192.168.0.0/24 hat die DNS-Server deines Providers in /etc/resolve.conf eingetragen. In dem Fall einfach die Konfiguration bei den Cleints im Netz 192.168.1.0/24 übernehmen - Nachteil ist dann natürlich, daß du keine lokalen Hosts auflösen kannst.

Wie gesagt, schasu dir mal dnsmasq an ...

[niesommer]

Schau Dir doch mal den iptables Generator an:
http://www.harry.homelinux.org/

http://www.harry.homelinux.org/modules. ... _Generator

[nepos]

Was soll ihm denn nun bitte ein iptables-Generator bringen, wenn die DNS-Aufloesung nicht funktioniert?
Ausserdem sind so Generatoren ganz nett, aber es schadet sicher nicht, mal selbst mit iptables was gemacht zu haben. Dann weiss man naemlich, was man anstellt.

[niesommer]

Es hält Ihn doch niemand davon ab, sich trotz generator mit dieser Thematik zu beschäftigen, oder?
So hat er gleich ein funktionierendes bsp., von dem er lernen kann.
Wenn er nur ein DNS Problem hat, was ich so nicht gelesen hab, dann sollte er sich mal die resolv.conf oder hosts dateien anschauen.
Und wenn er alles richtig eingestellt hat und HW probleme auszuschließen sind dann kommt man eh nur mit tcpdump weiter.
Und selbst für einen Server der als router arbeiten soll braucht man nicht unbedingt einen eigenen bind.

[nepos]

Wenn du die Postings oben liest, siehst du, dass das iptables-Problem schon behoben ist. Nun hakt es noch an seinen DNS-Einstellungen...