Probleme mit Iptables !!! |
||
|---|---|---|
| #0
| ||
|
25.03.2004, 13:24
Member
Beiträge: 13 |
||
 
|
|
|
|
26.03.2004, 08:50
Member
 Beiträge: 907 |
#2
du gibst ziemlich wenige informationen zu eurem netzaufbau an (auch verständlich, aber wenn man helfen soll, solltest du schon präziser werden)
deine rule wirkt für mich sinnlos ich weiß auch nicht, auf welchem rechner du sie nun ausführst steht der server hinter einer firewall? oder läuft er auf der firewall? evtl. hast du auf der neuen SuSE distri nicht die benötigten (conntrack,nat) module geladen ? für ICMP direkt auf die FW sind normalerweise nur 2 rules notwendig - und die haben nix mit NAT zu tun greez |
|
|
|
|
|
|
26.03.2004, 11:00
Member
Themenstarter Beiträge: 13 |
#3
Hallo,
ich muss dem SuseLinux9.0 Rechner vorteuschen er hätte den Ping vom IBM Server erhalten. Die Firewall läuft auf dem SuseLinux9.0 Rechner und soll halt Pings die er selber verschickt immer ans Loopback schicken damit immer Antwort kommt. Nur dann kann sich der AT&T client mit dem IBM Netz verbinden. Wenn du die Rule unter Suse 7.3 nutzt, kannst du einfach einen Ping z.B. auf 1.2.3.4 ausführen und bekommst dann von deinem Loopback die Antwort unter der IP 1.2.3.4 zurück, deshalb auch NAT. Die Module: modprobe ip_tables modprobe ip_conntrack modprobe ip_conntrack_ftp modprobe ipt_state modprobe iptable_nat modprobe ipt_MASQUERADE modprobe ip_nat_ftp werden geladen. Was für Infos brauchst du noch ??? Ich gebe so gut ich kann Auskunft. MfG Toyota76 Dieser Beitrag wurde am 26.03.2004 um 11:01 Uhr von Toyota76 editiert.
|
|
|
|
|
|
|
26.03.2004, 12:02
Member
Beiträge: 907 |
#4
wie ist denn der netzaufbau?
das verstehe ich nicht ganz - mir ist schon klar, dass die firewall auf der linux maschine läuft  ist der aufbau so? IBM-SERVER -> Firewall -> Externer Client (AT&T) ? greez |
|
|
|
|
|
|
26.03.2004, 19:09
Member
 Beiträge: 326 |
#5
Sorry, wie Emba schon schrieb. Beschreibe einfach mal die Konfig mit HW/SW. Dann ist es leichter fuer uns Dir zu helfen
 .__________ "Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Benedict Torvalds Dieser Beitrag wurde am 26.03.2004 um 19:22 Uhr von framp editiert.
|
|
|
|
|
|
|
26.03.2004, 19:38
Member
 Beiträge: 5291 |
#6
Kann mich da nur anschließen irgendwie sinnlos:
OUTPUT (for altering locally-generated packets before routing) du schickst also alle generierten SYN icmp pings an localhost - aber warum wozu ist das gut? __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
|
|
|
|
26.03.2004, 22:27
Member
Beiträge: 326 |
#7
@Xeper
Das sieht mir nach einem fake aus. Allerdings frage ich mich auch was das soll. __________ "Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Benedict Torvalds |
|
|
|
|
|
|
27.03.2004, 07:57
Member
Themenstarter Beiträge: 13 |
#8
Hi @ all,
nein es ist kein Fake! OK, dann kucken wir mal ob ich es besser verdeutlichen kann. Linux mit Firewall ( wegen sensieblen Daten) und AT&T Client ( Spezielle Free SWAN Versin von AT&T) --> stellt anfrage zum Login an IBM Server ( mit Firewall ) dabei wird ein Ping gesendet --> der IBM Server macht zwar die Authentifizierung aber er sendet den Ping nicht zurück --> der Client bekommt den Ping nicht und bricht ab. Deshalb brauche ich eine Art Ping Responder der mir auf jeden Ping antwort gibt. Geschehen ist dies unter Suse 7.3 immer mit der oben aufgeführten Zeile. Unter Suse 9.0 geht dies aber nicht mehr da mir die neue iptables Versin ein "Invalid Arg." meldet. Ich möchte einfach nur erreichen das alle Ausgehenden Pings an das eigene Loopback Interface gehen damit der Client den Ping bekommt und somit die Anmeldung am IBM Server erfolgreich abschliest. Hoffe das ist jetzt besser, ich will hier niemanden verärgern oder so, ist wirklich ernst meine Frage. MfG Toyota76 |
|
|
|
|
|
|
27.03.2004, 09:11
Member
Beiträge: 5291 |
#9
Zitat der IBM Server macht zwar die Authentifizierung aber er sendet den Ping nicht zurückdann fix das doch erstmal __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
|
|
|
|
27.03.2004, 17:02
Member
Beiträge: 326 |
#10
Ich wuerde vermuten der Server sendet schon einen Ping zurueck welcher aber nicht durchgelassen wird von dem Linux Firewall.
Lauft der AT&T Client auf dem Firewall unter Linux oder haengt der hinter der FW? Die Config ist mir eben immer noch nicht ganz klar. Also noch einmal: 1) Server -> Firewall -> WINXP mit AT&T Client 2) Server -> Firewall mit AT&T Client 3) anders Was ist Config bei Dir (1 oder 2) bzw wie sieht 3 aus? Male doch einfach mal ein PseudoBild wie ich oben. Bilder sagen doch mehr als tausend Worte .__________ "Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Benedict Torvalds Dieser Beitrag wurde am 27.03.2004 um 17:04 Uhr von framp editiert.
|
|
|
|
|
|
|
27.03.2004, 20:31
Member
Themenstarter Beiträge: 13 |
#11
Hallo,
nein der IBM Server sendet den Ping nicht zurück und ich kann da auch nix fixen das ist nicht in meiner Verantwortung. Und der Linux, der zu dem IBM Server connecten will hat die Firewall und den AT&T Client laufen. Mit Win XP habe ich doch gar nix geschrieben, wie kommt ihr jetzt zu XP? Zitat Linux mit Firewall ( wegen sensieblen Daten) und AT&T Client ( Spezielle Free SWAN Versin von AT&T)Es geht hier um einen Laptop mit Linux 9.0 und einer Firewall (siehe Zitat) der zu dem IBM Server connecten will. Der IBM Server mit Firewall ist nicht in meiner Verantwortung und gibt auch keine Pings zurück. Deshalb will ich doch nur die icmp Packete wie bisher unter Suse 7.3 mit der Zeile geschehen: iptables -t nat -A OUTPUT -p ICMP --icmp-type echo-request -j DNAT --to-destination 127.0.0.1 an das eigene Loopback schicken. Jetzt wollte ich wissen ob mir jemand sagen kann wie ich die Zeile schreiben muss damit sie mit unter Suse 9.0 wieder funktioniert (iptables version 1.2.8). Jetzt weiss ichs echt nicht mehr was ich euch noch für Ansatzpunkte geben soll, da ich mich jetzt schon wiederhole und so doof habe ich es jetzt auch nicht beschrieben. Wenn ihr es nicht wisst, muss ich halt mal in einem anderen Forum posten ob mir da jemand helfen kann. Danke trozdem. MfG Toyota76 |
|
|
|
|
|
|
27.03.2004, 20:59
Member
Beiträge: 5291 |
#12
Zitat Linux 9.0Gibt es nicht - www.kernel.org - Die Zeile (das kommando) ist an sich nicht verkehrt ich würds nur anders schreiben. Außerdem warum fragst du überhaupt hier - man iptables würd ich dir mal raten. __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
|
|
|
|
27.03.2004, 21:13
Moderator
 Beiträge: 6466 |
||
|
|
|
|
|
27.03.2004, 21:16
Member
Beiträge: 5291 |
#14
@Joschi
Ich habe weder vor den Leuten alles recht zu machen noch ihnen gar nicht zu helfen - ich helfe ihnen nicht dadurch das ich die manpage selber lese  Habs aber getan und das kommando selbst ist okay - es ist ein simples einfaches Problem was aus einem Missverständnis heraus entstanden ist und was sehr einfach zu lösen ist wenn man die manpage lesen würde - und nein ich hab das cmd nicht ausprobiert weil es dazu gar keinen Grund gibt. Aber sich durchzu Fragen ist auch nicht die beste Art das "Problem" zu lösen. (wobei es wohl nichtmal eins ist.)Mein Vorschlag für die Zeile - nun ich würde das table argument (-t) nach -A schreiben und nicht davor *  * aber das ist nicht so wichtig. Ich habe ja gesagt das dass kommando an sich doch so ganz richtig ist. Zumindestens von meiner Sicht aus - neine Irrtümer schließe ich nicht aus.__________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
|
|
|
|
27.03.2004, 21:28
Member
Beiträge: 326 |
#15
@Toyota76
Keep cool. Ich habe XP ins Spiel gebracht da das nun mal leider eines der meistgenutzen OS ist. Aber jetzt verstehe ich wenigstens Deine HW config. Ein LT mit SuSE 9.0 incl firewall mit dem Du dich an den IBM Server anmeldest. Das war mir wirklich nicht aus Deinen vorherigen Posts klar! Aber noch einmal: Bist Du sicher, dass der Server keine ping Antwort schickt? Ich denke es ist eher so, dass Deine FW den Ping blocked und deshalb der Client aussteigt. Es gibt da einen Hinweis in diesem Thread wie Dein originales command wohl zu aendern ist so dass es wieder funktioniert. Ich wuerde aber trotzdem mal sehen, ob Dein Problem nicht auch ohne diesen 'fake' zu loesen ist. Deshalb Wenn Du die IP Adresse des Sevres weisst, kannst Du recht leicht herausfinden, ob Du einen ping erhaeltst oder nicht. tcpdump -i ppp0 -n host {serverip} zeigt Dir den Traffic mit dem Server. by the way: Hilfe und Tips sind nur moeglich wenn man das Umfeld versteht. Und dazu ist nun mal etwas Geduld notwendig.  __________ "Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Benedict Torvalds Dieser Beitrag wurde am 27.03.2004 um 22:15 Uhr von framp editiert.
|
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
kann mir jemand helfen, der sich mit iptables auskennt. Ich muss von extern ins IBM Netz via AT&T client. Der AT&T client macht beim connect einen Ping auf einen IBM Server, den er aber leider nicht zurück bekommt und somit kein connect zustande kommt. Das Problem hat sich unter Suse7.3 mit folgender Zeile in meiner Firewall beheben lassen:
iptables -t nat -A OUTPUT -p ICMP --icmp-type echo-request -j DNAT --to-destination 127.0.0.1
Dadurch bekommt der AT&T client einen Ping und macht die Verbindung auf.
Jetzt muss ich das ganze aber unter Suse9.0 zum laufen bringen, aber dort meldet mir iptables immer ein Invalid Argument zurück. Kann mir jemand sagen wie ich die Zeile ändern muss, damit es mit dem neuen Kernel wieder geht. Bin nämlich leider kein Held im iptables Feld. Danke schon mal.
MfG
Toyota76