rompicapo su Masquerading e Firewall By Tongiu

scibilo · Messaggio da **scibilo** » ven 25 mar 2005, 15:13

ciao a tutti,
 e´ veramente un rompicapo (o con maggiore probabilita´ si tratta di qualche sciocco errore che commetto)

in pratica, mi riferisco alla prima parte del tutorial: Masquerading; seguendo alla lettera la guida, il natting funziona perfettamente se lo provo su una macchina con ip 192.168.0.1 (ho una debian su questa), gli altri due pc, una slack e win xp pro si connettono ad internet regolarmente.
 
 Se pero´ imposto tutto sulla slack con ip 192.168.0.3, non funziona piu´ nulla; naturalmente in win xp pro cambio il gateway a 192.168.0.3;
 sulla slack, in /etc/rc.d/rc.inet1.conf ho messo questo:
 # Default gateway IP address:
 GATEWAY="192.168.0.3"
 
 nonostante tutto, gli altri pc non si connettono..

leggo e rileggo il tutorial e non mi sembra che negli script si faccia obbligatoriamente uso dell´ip 192.168.0.1 come gateway
 
 avete suggerimenti?
 
 grazie

Michele84 · Messaggio da **Michele84** » dom 3 apr 2005, 13:07

Ciao,
 dipende da come è configurata la tua rete Lan.
 Se hai un modem e imposti il natting su 192.168.0.3 e fai bypassare tutto dalla slack allora ti funziona.
 Se invece hai un router e vuoi far bypassare tutto dalla slack devi impostare la condivisione internet tramite SNAT e come ip di SNAT devi mettere quella del router.
 Ovviamente /etc/rc.d/rc.ip_forward deve essere abilitato.
 Ciao!

scibilo · Messaggio da **scibilo** » gio 7 apr 2005, 11:58

non ho il router, ho un modem ad sl usb collegato alla slack e i tre pc collegati ad uno switch.
 Seguendo pari pari lo schema della guida (http://www.slacky.it/tutorial/firewall/ ... ewall.html) il natting dovrebbe essere impostato correttamente penso; non ci dovrebbero essere problemi ed infatti su una macchina con ip 192.168.0.1 funziona...e sulla 192.168.0.3 che la condivisione non va.

Non capisco
 
 grazie comunque
 ciao

Michele84 · Messaggio da **Michele84** » gio 7 apr 2005, 22:31

Ciao,
 pure io ho la condivisione internet basata su 192.168.0.1 ma provando a cambiare ip e mettendo 192.168.0.3 la condivisone funziona lo stesso.
 Ovviamente i client devono avere come gateway 192.168.0.3 e dns del proprio provider.
 
 Ps:il modem è collegato direttamente alla macchina dove condivido la connessione ad internet.
 
 Ciauz!!!

scibilo · Messaggio da **scibilo** » ven 8 apr 2005, 13:22

vedi che e´ un rompicapo?

anch´io ho la stessa situazione con modem collegato direttamente alla macchina che condivide la connessione e quindi alla slack
 mah!?!

Messaggio da **Bakkio2** » ven 8 apr 2005, 13:37

in che senso non vanno su internet? non vedi le pagine web, o proprio non fai nulla? hai provato a fare un ping da un computer lan verso l´esterno usando un ip e non un nome host? non è che il dns sia impostato male?

scibilo · Messaggio da **scibilo** » sab 9 apr 2005, 11:46

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>Quote:<HR></TD></TR><TR><TD><BLOCKQUOTE>
 08-04-2005 alle ore 13:37, Bakkio2 :
 in che senso non vanno su internet? non vedi le pagine web, o proprio non fai nulla? hai provato a fare un ping da un computer lan verso l´esterno usando un ip e non un nome host?
 </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE>
 
 gia´ provato
 
 <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>Quote:<HR></TD></TR><TR><TD><BLOCKQUOTE>
 non è che il dns sia impostato male?

</BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE>
 
 assolutamente no, tanto piu´ che spostando il modem sulla macchina 192.168.0.1 e naturalmente cambiando il gateway alle altre macchine, non ci sono problemi di sorta
 
 ciao

Michele84 · Messaggio da **Michele84** » sab 9 apr 2005, 20:12

Puoi dirmi con quali comandi condividi la tua connessione ad internet?
 
 Ps:se provi a mettere slack con indirizzo 192.168.0.1 riesci a condividere internet?

scibilo · Messaggio da **scibilo** » dom 10 apr 2005, 13:51

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>Quote:<HR></TD></TR><TR><TD><BLOCKQUOTE>
 09-04-2005 alle ore 20:12, Michele84 :
 Puoi dirmi con quali comandi condividi la tua connessione ad internet?
 </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE>
 
 Guarda, sono esattamente i comenadi che ci sono nella guida, stessa creazione file, praticamente ho fatto copia e incolla
 
 <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>Quote:<HR></TD></TR><TR><TD><BLOCKQUOTE>
 Ps:se provi a mettere slack con indirizzo 192.168.0.1 riesci a condividere internet? 
 </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE>
 
 ho appena provato e non va...non capisco; per la cronaca sulla slack e altri pc non e´ attivato nessun firewall
 queste pratiche arcane...(o argatto fate voi)

Michele84 · Messaggio da **Michele84** » dom 10 apr 2005, 19:52

Non vorrei dire che hai qualche problema con iptables.
 
 Se dai "iptables -L -t nat" ti esce un output di questo genere o simile?
 
 Chain PREROUTING (policy ACCEPT)
 target prot opt source destination
 
 Chain POSTROUTING (policy ACCEPT)
 target prot opt source destination
 MASQUERADE all -- anywhere !localnet/25
 
 Chain OUTPUT (policy ACCEPT)
 target prot opt source destination

scibilo · Messaggio da **scibilo** » lun 11 apr 2005, 19:26

intanto ti ringrazio per l´attenzione

ecco l´output:
 
 
 Chain PREROUTING (policy ACCEPT)
 target prot opt source destination
 
 Chain POSTROUTING (policy ACCEPT)
 target prot opt source destination
 
 Chain OUTPUT (policy ACCEPT)
 target prot opt source destination
 
 
 per quanto ne so tutto e´ permesso e niente e´ configurato...o no?

Michele84 · Messaggio da **Michele84** » gio 14 apr 2005, 13:31

Ciao!
 In effetti ti manca il MASQUERADE attivo ed esattamente questa stringa
 MASQUERADE all -- anywhere !localnet/25
 
 Prova a condividere la connessione ad internet con questi comandi;
 
 iptables -t nat -A POSTROUTING -d ! 192.168.0.0/25 -j MASQUERADE
 
 Controlla che rc.ip_forward abbia i permessi di esecuzione, altrimenti chmod +x /etc/rc.d/rc.ip_forward
 
 Ciao!

scibilo · Messaggio da **scibilo** » gio 14 apr 2005, 20:26

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>Quote:<HR></TD></TR><TR><TD><BLOCKQUOTE>
 14-04-2005 alle ore 13:31, Michele84 :
 Ciao!
 In effetti ti manca il MASQUERADE attivo ed esattamente questa stringa
 MASQUERADE all -- anywhere !localnet/25
 
 Prova a condividere la connessione ad internet con questi comandi;
 
 iptables -t nat -A POSTROUTING -d ! 192.168.0.0/25 -j MASQUERADE
 
 </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE>
 
 grande, hai fatto centro!
 
 che stupido, per qualche ragione, le mie sinapsi, forse un crash oppure non si incontravano, non lo so, mi davano da pensare che lo script richiamasse il masquerading in automatico

ora devo solo vedere dove mettere fisso questo comando perche´ parta all´avvio, in rc.local vero?
 
 ciao e ancora grazie :-]

Michele84 · Messaggio da **Michele84** » gio 14 apr 2005, 20:54

Ottimo, sono contento che ti funzioni.
 Per la stringa del MASQUERADE la puoi mettere in rc.local oppure (come ho fatto io) crei un file in /etc/rc.d/ col nome di rc.firewall e li ci metti tutte le stringhe che vuoi (anche regole di iptables se ne hai necessità).
 
 Ciao!!!

miller · Messaggio da **miller** » ven 15 apr 2005, 11:23

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>Quote:<HR></TD></TR><TR><TD><BLOCKQUOTE>
 iptables -t nat -A POSTROUTING -d ! 192.168.0.0/25 -j MASQUERADE
 </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE>
 
 Peerchè questa classe??
 Se non ho fatto male i conti, una /25 divide esattamente la classe in 2 sottoreti (192.168.0.0-192.168.0.127 e 192.168.0.128-192.168.0.255).
 E´ solo una precisazione la mia, ma se a qualcuno viene in mente di usare questa classe, sappi, che mettendo come router 192.168.0.254 e come ip della lan 192.168.0.1 avrà grossi problemi di comunicazione.
 Dico questo per evitare sclero assurdo per nulla.
 
 Ciao