# Iptables,  wie soll das gehn ?  [SOLVED]

## Blackburns_gentoo

Hi Leute,

Ich möcht wegkommen von meinem  D-Link DI604 Boardband router, und möchte mein Server, der monentan vorallem als Fileserver im LAN steht zu meinem Router machen, da ich  bei dem Rechner eine 2te Netzwerkkart eingebaut hab.

Wunsch lösung :

```

         WAN                              LAN

[Internet] -------- [Server] ------ [PC 1,2,3,4]

```

```

 [  S  E  R  V  E  R  ] 

    ETH1(PCI-card, 100MBs)  = Internet  (Cabelmodem das Öffentliche IPs verteilt (max 4 IP))

    ETH0(Onboard, 1GBs )  = LAN Gateway  (Einerseits für Files erreichbar, und andererseits DHCPd + Gateway)

```

bishärige situation:

eth0 war normal via Fixe IP am netzwerk (kabel in onboard) angeschlossen 

-->eth1 merkwürdigerweise startete immer gleich wie  eth0 mit dem systemstart, obwohl ich mit eth1 kein rc-update gemacht hab für autorun wie bei eth0.

Noch seltsamer war das jedesmal wen ich versucht hab, den server aud DHCP zu stellen,  oder versucht hab  net.eth1 stop  zumachen immer die verbindung bei eth0 sofort abriss !!

darum hab ich es dan auch damals gelassen da gross weiter zumachen.

nun mittlerweile versuch ich aus IPtables schlau zuwerden und neben bei noch  DHCPd  zu installen.

aber ich werd aus dieser geschichte mit ETH 1 nicht schlau, egal was oder wie ich mit ETH1 umgeh sie findet  in keinem Fall eine IP, und Fixe IPs geben nie antwort, dafür verhindert eth1 umso mehr das eth0 überhaupt eine Verbindung hinkriegt.

jetzt 

1.  wie kan man allgemein klar nachschlagen, welche  ETH welche hartware verkörpert?

2.  kan ich den DHCPd so konfigurieren das dieser nur auf dem LAN eth port aktiv ist.

3.  Ich hab in dem DHCP HowTo von Gentoo.wiki auch die möglichkeit gefunden fixe adresszuweisungen für MAC adressen zumachen, geht sowas auch für IPs ?? wen ja, wie ? ich seh es hier nur bezogen auf den hostnamen.

beispiel : host hans { hardware ethernet 00:E0:18:F1:4C:54; fixed-address hans; }

4.ich hab nun nach gentoo-wiki, iptables installiert, und in der anleitung  "iptables für anfänger"  fall 2  giebt es ein iptables konfig. vorschlag, ist es realistisch gleich so ein beispiel einsetzen zuwollen? Mir geht es darum das es mal auf einem Minimalstand laufen soll, erweiterte Optionen wie spezielle ports die freigeschaltet werden für LAN PCs kann ich immernoch später hinzufügen.

http://de.gentoo-wiki.com/Iptables_f%C3%BCr_Anf%C3%A4nger#Fall_2:_Ein_Netzwerk_mit_einem_bis_mehreren_PCs.2C_in_dem_als_DSL-Router_ein_extra_PC_arbeitet.

Ich hoffe sehr auf euere hilfe da ich zwischen all den Howtos ziemlich die übersicht verlohren hab.

Grüsse

Blackburns_GentooLast edited by Blackburns_gentoo on Mon Oct 22, 2007 12:12 am; edited 1 time in total

----------

## Blackburns_gentoo

achja und das beste seh ich erst jetzt gerade :

Früher hab ichs hingekriegt mit  eth0 -> fixe IP 192.168.0.3  im netzwerk erreichbar zu sein.

-->das kabel, war immer im onboard eingesteckt !!!

nun entferne ich die PCI karte :

-> ETH0  : Interface esxistiert nicht.

allerdings eth1 bezieht nun IP über die ONboard !

was soll das ???

Ich versteh das nicht !

-> Mein server will mich verarschen   :Embarassed: 

Wie leg ich fest das nun ETH0 die Onboard karte ist ! und NIX ANDERES !

und ETH1 gefäligst nicht exisitiert wen ich die PCI karte entfern ?

----------

## Finswimmer

 *Blackburns_gentoo wrote:*   

> achja und das beste seh ich erst jetzt gerade :
> 
> Früher hab ichs hingekriegt mit  eth0 -> fixe IP 192.168.0.3  im netzwerk erreichbar zu sein.
> 
> -->das kabel, war immer im onboard eingesteckt !!!
> ...

 

Schau mal bei den rules von udev nach. Da solltest du die Vergabe finden.

Tobi

----------

## Blackburns_gentoo

danke für deine rasche Antwort, wo finde ich so was ? bzw gibt es eine möglichkeit die Zuweisung von eth0 und eth1 selbst zu setzen?

wen ich nun in der aktuellen situation diese eth1 (ohne PCI-card)  mit einer fixen IP verseh, und auf der anderen Seite "ein" ! nur ein rechner mit ebenfalls einer Fixen IP (gleiche Range)   also eigentlich das simpelste was es giebt ! dann ergibt sich daraus folgendes :

beim Pingen auf den jeweils anderen geht etwa 75% der Pakete verloren  allerdings komt so jedes 4-5 Paket an, mit einer Reaktionszeit von 0.0xx ms

was soll das ??  O.o versteh ich nicht ..

Gruss

----------

## STiGMaTa_ch

Um deine Ursprüngliche Frage zu beantworten:

http://www.gentoo.org/doc/de/home-router-howto.xml DE

http://www.gentoo.org/doc/en/home-router-howto.xml EN

Bez. deines Netzklarten Problemes:

Output von:

```
lspci|grep Ether
```

```
ifconfig -a
```

```
grep -v '^#' /etc/conf.d/net|sort -u
```

Lieber Gruss

STiGMaTa

----------

## Blackburns_gentoo

hi STiGMaTa_ch

Ich hab das ganze nun mal nach diesem Howto versucht, und ich bin erstaunt ! ich komme weiter als bisher.

das einzige was ich wohl aufgeben muste war wol die geschichte mit eth0 und eth1 

bei mir funktioniert es exakt umgekert, wie im howto, eth0 is nun internet und eth1 is LAN

aber egal.

Wichtig ist, ich krieg schonmal die öffentlich IP auf eth0 ! und das is schon mal was wert.

Auch schaff ich es mit dnsmasq IPs im LAN zu verteilen, was auch Clients absolut brav akzeptieren .

beispiel:

IP : 192.168.0.15

Subnetmask: 255.255.255.0

gatway : 192.168.0.1

dns : 192.168.0.1

WINS: 192.168.0.1

bei einem Ping auf meiner Vista kiste krieg ich auch eine  IP  was wohl bedeuten mus das der Name aufgelösst wirt. nun aber der Ping ansich kommt nicht durch.

Daher geh ich davon aus das es wohl  an der iptables liegt.

wen ich die liste so ausführe wie sie beim HOWTO steht(eintrag eth0,1 natürlich koriegiert) krieg ich immer 2mal den output:

```
iptables v1.3.8: can't initialize iptables table `nat': Table does not exist (do you need to insmod?)

```

nun dem past wohl  

# iptables -t nat -F

&

# iptables -t nat -A POSTROUTING -o ${WAN} -j MASQUERADE

nicht, Kann das sein ?

hab ich was vergessen ? 

ich komm nicht von  LAN  auf WAN.  (wert aus dem skript nicht ganz schlau)

Grüsse

Black

----------

## ScytheMan

Schau dir mal 

/etc/udev/rules.d/z25_persistent-net.rules 

an

das sollte dein Eth0 und Eth1 problem fixen.

----------

## Blackburns_gentoo

 :Cool:  cool genau das was ich brauchte ! Danke ! 

aber das mit dem guten Howto und dem Iptables will immer noch nicht klappen , aber es sieht auch danachaus als gehen di im howto von http://www.gentoo.org/doc/de/home-router-howto.xml davon aus das dieses "nat" in der befehlszeile

# iptables -t nat -F

&

# iptables -t nat -A POSTROUTING -o ${WAN} -j MASQUERADE

bereits eine bedeuting hat, was bei mir allerdings nicht der fall ist. bei mir kommt immer 

```
iptables v1.3.8: can't initialize iptables table `nat': Table does not exist (do you need to insmod?) 
```

hab ich da irgendwas vergessen ?? was fehlt da ??

kann es alleine an dem liegen ? das ich kein Kontakt vom LAN zum WAN krieg? 

Also iptables schein schon zu greiffen, den wen ich  mit -F alles löscht verlier ich sofort den ssh kontakt im LAN.  aber mehr als vom Client auf den Router/server komm ich nicht .

-.- was mach ich den noch faltsch ?

Grüsse

Black

----------

## STiGMaTa_ch

 *Blackburns_gentoo wrote:*   

> aber das mit dem guten Howto und dem Iptables will immer noch nicht klappen , aber es sieht auch danachaus als gehen di im howto von http://www.gentoo.org/doc/de/home-router-howto.xml davon aus das dieses "nat" in der befehlszeile
> 
> [...]
> 
> -.- was mach ich den noch faltsch ?
> ...

 

Ganz einfach.. anstelle das Dokument zu lesen hast du es nur überflogen. Nicht das erste mal bei dir  :Rolling Eyes:  leider...

Also, setze dich nochmals in ruhe hin, befolge die Anweisungen und LASS BESONDERS NICHTS AUS. Dann wirst du schon sehen, dass dein einziges Problem ein PEBKAC Problem ist  :Wink: 

Kleiner Tipp:

Kapitel 2 löst deine Probleme...

Lieber Gruss

STiGMaTa

----------

## Blackburns_gentoo

 :Embarassed:   :Exclamation:   :Exclamation:   :Embarassed: 

```

         [*] Full NAT

            [*] MASQUERADE target support

```

 ich hab  wirklich so ziemlich alles aktivier im Kernel, aber hab wohl genau das vergessen -.- 

 danke dir ! alles klar !

--> setze Topic auf [Solved]

Grüsse

Black

Ps: schöne Grüsse nach Zürich ^^ vom Bodensee^^

----------

## STiGMaTa_ch

 *Blackburns_gentoo wrote:*   

>    
> 
> ```
> 
>          [*] Full NAT
> ...

 

Hehehe... siehst du. So einfach kann es sein  :Wink: 

Lieber Gruss

STiGMaTa

----------

## mv

 *Blackburns_gentoo wrote:*   

> ich hab  wirklich so ziemlich alles aktivier im Kernel

 

Gerade von iptables/netfilter sollte man normalerweise auch nicht alles aktivieren, außer man weiß genau, dass man es will. Beispielsweise connection tracking für ftp reißt ein Sicherheitsloch auf.

----------

## Polynomial-C

 *mv wrote:*   

>  *Blackburns_gentoo wrote:*   ich hab  wirklich so ziemlich alles aktivier im Kernel 
> 
> Gerade von iptables/netfilter sollte man normalerweise auch nicht alles aktivieren, außer man weiß genau, dass man es will. Beispielsweise connection tracking für ftp reißt ein Sicherheitsloch auf.

 

Kannst du da mal nähere Infos zu geben?

----------

## mv

 *Polynomial-C wrote:*   

> Kannst du da mal nähere Infos zu geben?

 

Einen Link zum Exploit habe ich im Moment nicht mehr greifbar, aber es war prinzipieller Natur...

Man muss ja nur den Rechner dazu bringen, "scheinbar" (aus Sicht von iptables) eine aktive ftp-Verbindung über einen bestimmten Port aufbauen zu wollen, und schon ist dieser Port de fakto von außen zugänglich, d.h. iptables "ausgehebelt". Das Unangenehme ist, dass das selbst mit Javascript o.ä. unter äußerst eingeschränkten Rechten immer noch möglich ist...

Anders formuliert: Aktives ftp ist halt ein kaputtes Protokoll. Wenn man es ermöglicht (was durch Aktivieren im Kernel eben schon der Fall ist, wenn man zumindest für irgendetwas connection tracking im iptables Regelwerk erlaubt), macht man sich dadurch potentiell alles kaputt - eine (IP-)Kette ist eben nur so stark wie ihr schwächstes Glied.

----------

