nextgentel og iptables gateway

[OleJ]

Er det noen måte å bruke linux og iptables som router med nextgentel sin router.

 

internett -- ngt_router (10.0.0.0) -- linux -- lokalnett (192.168.1.0)

 

Jeg får kontakt med 10.0.0.0 nettet fra 192.168.1.0 med standard nat oppsett i iptables, men det har jo ingen ting for seg, siden jeg vil på det store Internettet.

 

Noen som veit hva jeg må gjøre for å få til dette? Bruker ubuntu server intall hvis dette har noe å si. Iptables v1.3.1.

Endret 26. desember 2005 av OleJ

[Torbjørn]

du må legge ipen til din ngt ruter, sikkert 10.0.0.1 som default gateway på din linux ruter

[OleJ]

Ja, det har jeg allerede gjort. Jeg har tilgang til nettet fra linux boksen, men problemet er at jeg ikke har tilgang til internett fra intern nettverket. Kun til nettet mellom routeren og linux boksen.

 

Så default gateway er riktig på det nettverkskortet som er koblet til internett (eller ngt router).

[Torbjørn]

og default gateway på de som står på lokalnettet må være 192-ipen til linuxboksen?

[OleJ]

Jepp

 

Route tabellen på boksen ser slik ut:

 

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.0.0.0        *               255.255.255.0   U     0      0        0 eth0
192.168.1.0     *               255.255.255.0   U     0      0        0 eth1
default         10.0.0.1        0.0.0.0         UG    0      0        0 eth0

 

Litt usikker på om denne er rett da. Eth1 er mot lokalnettet og eth0 er mot ngt routeren.

 

Bruker dette iptables scriptet:

 

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -i eth1 -j ACCEPT

echo 1 > /proc/sys/net/ipv4/ip_forward

 

Og dette fungerer jo nesten siden jeg kommer til 10.0.0.0 nettet fra 192.186.1.0, men ikke til internett.

Endret 27. desember 2005 av OleJ

[Torbjørn]

er det alle iptables regler du har?

[OleJ]

Ja. Kjører noen tømmekommandoer og sånt i dette scriptet, men det er irrelevant.

 

Så jeg lurer på om jeg har gjort feil i iptables eller i routinga eller begge. Eller om det lar seg gjøre i det hele tatt.

[Torbjørn]

grunnen til at jeg spør, er at tcp forbindelser trenger å kunne sende pakker begge veier, ikke bare -i eth1

 

bruker du -m state ? for å sjekke om pakker som kommer i retur er fra en etablert forbindelse?

 

hvilken default policy har du på dine tables i -t filter?

[OleJ]

Jeg har bare de regla som jeg har skrevet i posten over. Det fungerer helt fint hvis eth0 er koblet rett mot internett uten router. Men det lar seg ikke gjøre med ngt.

 

 

dette gir iptables --list

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

[Torbjørn]

jeg har kjørt nøyaktig samme oppsett hjemme med ngt nett, så det går an.

 

du trenger ikke den regelen i FORWARD hvis den likevel er åpen for alt.

 

har du linux clienter på bakenttet du kan debuge med? det er litt lettere enn windows

[OleJ]

Tanken er jo å kunne begrense ting via den maskinen.

 

Men ja, jeg har en linux klient på innsiden som jeg kan bruke til debugging.

[Torbjørn]

jeg tenket akkurat det samme.

 

ok, sjekk for det første at denne maskinen (linux på baknettet) har 192.168.1.1 som default gateway:

 

netstat -nar

 

jeg forstår det slik at din linux gateway (tiltenkte) har nett uten problemer eller begrensninge?

 

kjør iptraf i denne, og kjør iptraf i linuxklienten

 

prøv deretter litt pinging og annen nettaktivitet og sjekk hva du kan spore

[OleJ]

Ja, da fikk jeg endelig løst problemet.

 

Det viste seg å være et dns problem. Jeg kan visst ikke bruke eksterne dns servere på klientene som er på innsida.

 

Det løste seg fint når jeg la inn bind. Fant det ut ved å pinge en ip på internett, og med iptraf.

 

Takk for hjelpen