---

Hej !

Jeg har fået internet opkobling hos dansk kabel tv, og en public ip men
pludselig kan min webserver ikke tilgås udefra mere.
Mit netværk se sådan ud

Internet ---|80.63*.* Firewall/gateway 192.168.10.1| ---|klienter
192.168.10.*

|----|webserver 192.168.10.9

Jeg kommer på internettet via et kabel modem, dennes ethernet port har ip
10.0.0.1 og er koblet på firewallens "eksterne" lan kort (det som har
80.63.*.*)
Håber det giver mening :)

Min opsætning med iptables ser således ud:

INTINT="eth0"
EXTINT="eth1"
INTNET="192.168.10.0/16"
LOOPBACK="127.0.0.1"
ANYWHERE="0/0"

WWWEXT="80.63.*.* --dport 80"
WWWINT="192.168.10.9:80"
OUTRANGE="80.63.*.*"

echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
for i in /proc/sys/net/ipv4/conf/*
do
echo "0" > $i/accept_source_route
echo "2" > $i/rp_filter
done

# Sletter mine gamle regler og tillader alt output/forward men dropper alt
input pr default
$IPTABLES -t nat -F POSTROUTING
$IPTABLES -t nat -F PREROUTING
$IPTABLES -F INPUT
$IPTABLES -F FORWARD
$IPTABLES -F OUTPUT
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -P OUTPUT ACCEPT

# Tillader alt på mit loopback interface
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A FORWARD -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT

# Tillader alt på mit lokalnet
$IPTABLES -A INPUT -i $INTINT -j ACCEPT
$IPTABLES -A FORWARD -i $INTINT -j ACCEPT
$IPTABLES -A OUTPUT -o $INTINT -j ACCEPT

# Forwarder alt der kommer ind på den public ip på port 80 til webserverens
ip
$IPTABLES -A PREROUTING -t nat -p tcp -d $WWWEXT -j DNAT --to $WWWINT

# Nat'er så alle mine klienter "kommer" fra den public ip.
$IPTABLES -t nat -A POSTROUTING -s $INTNET -o $EXTINT -j SNAT --to $OUTRANGE

Hvad kan der være galt, det virkede med mit gamle dsl forbindelse!?!

Mvh
-Christoffer

---

Den Mon, 11 Feb 2002 22:42:52 +0100 skrev Duca:
>Hej !
>
>Jeg har fået internet opkobling hos dansk kabel tv, og en public ip men
>pludselig kan min webserver ikke tilgås udefra mere.
>Mit netværk se sådan ud
>
>Internet ---|80.63*.* Firewall/gateway 192.168.10.1| ---|klienter
>192.168.10.*
>
>|----|webserver 192.168.10.9
>
>Jeg kommer på internettet via et kabel modem, dennes ethernet port har ip
>10.0.0.1 og er koblet på firewallens "eksterne" lan kort (det som har
>80.63.*.*)
>Håber det giver mening :)

Virker det hvis du disabler firewall'en?

Umiddelbart vil jeg mene at det er din kabel-modem der har 80.63.*.*
(hvorfor vil du ikke ud med nummeret? Skal det være en hemmelig
webserver?), og din webserver skal have 10.0.0.2... Maskinen skal
have en ip-nr. på samme subnet som gateway'en (kabel-modemet).

Mvh
Kent
--
Hvis man ikke kan lide klassisk musik, er det sandsynligvis fordi
lydkvaliteten er for dårlig. Klassisk musik kræver et godt anlæg.

---

Hej

>
> Virker det hvis du disabler firewall'en?
Nej, for så ved den jo ikke hvor den skal smide indgående traffik hen fra
modemet (firewall og webserver er ikke samme maskine)

> Umiddelbart vil jeg mene at det er din kabel-modem der har 80.63.*.*
> (hvorfor vil du ikke ud med nummeret? Skal det være en hemmelig
> webserver?), og din webserver skal have 10.0.0.2... Maskinen skal
> have en ip-nr. på samme subnet som gateway'en (kabel-modemet).

Nej det er såmænd ikke en hemmelig server, man kan jo bare se hvor denne
besked kommer fra, bare gammel vane :)
Men det er vel fuldstændig ligemeget hvilken ip webserveren har (altså dens
lokale ip), det er jo iptables opgave at smide traffik på port 80 der er
indgående til den rigtige ip adr eller ??
Jeg kan sagtens få fat i webserveren fra lan'et ved at angive webserverens
lokale ip (192.168.10.9), så den kører godt nok!?

Mvh

-Christoffer

---

Den Mon, 11 Feb 2002 23:54:00 +0100 skrev Duca:
>Hej
>
>>
>> Virker det hvis du disabler firewall'en?
>Nej, for så ved den jo ikke hvor den skal smide indgående traffik hen fra
>modemet (firewall og webserver er ikke samme maskine)

Ok, så skal jeg vist lige omformulere et par ting.

>> Umiddelbart vil jeg mene at det er din kabel-modem der har 80.63.*.*
>> (hvorfor vil du ikke ud med nummeret? Skal det være en hemmelig
>> webserver?), og din webserver skal have 10.0.0.2... Maskinen skal
>> have en ip-nr. på samme subnet som gateway'en (kabel-modemet).

Jeg mente selvfølgelig at firewall'en (det eksterne netkort) skal
være på samme subnet som kabel-modemet. Den skal sandsynligvis have
10.0.0.2 - jeg går ud fra at det er den adresse HTTP-trafik bliver
forwardet til (men det burde stå i en eller anden manual).

(Det skal lige siges at jeg ikke ved hvordan de kabel-TV folk har lavet
opsætningen, men jeg går ud fra at den minder om en router-baseret WOL-
ADSL, eller TDC ProAccess).

Mvh
Kent
--
Demokrati er lige som den 29. februar - begge dele forekommer
en gang hver fjerde år.

---

Hej !
> Jeg mente selvfølgelig at firewall'en (det eksterne netkort) skal
> være på samme subnet som kabel-modemet. Den skal sandsynligvis have
> 10.0.0.2 - jeg går ud fra at det er den adresse HTTP-trafik bliver
> forwardet til (men det burde stå i en eller anden manual).

Der står i manualen at man skal tildele klienten ip'en 10.141.95.1 og subnet
255.0.0.0 (hvorfor et så kæmpe net, ved jeg ikke!?), men efter jeg har fået
min public ip har jeg fået et brev hvor der står at jeg skal tildele
maskinen ip'en 80.63.49.18 (der fik du ip'en :) og subnet 255.255.255.0 og
bruge gw 80.63.49.1, det virker også godt nok hvis jeg via iptables
fortæller modemet at alle klienter kommer fra den public ip.
Nu kommer det underlige : Jeg har fundet ud af at hvis alle mine klienter er
slukket (ikke webserveren) kan jeg godt få fat i min side udefra!?!?! Har
du/i nogle ide om hvorfor??

Mvh

Christoffer

---

Den Tue, 12 Feb 2002 16:55:33 +0100 skrev Duca:
>Hej !
>> Jeg mente selvfølgelig at firewall'en (det eksterne netkort) skal
>> være på samme subnet som kabel-modemet. Den skal sandsynligvis have
>> 10.0.0.2 - jeg går ud fra at det er den adresse HTTP-trafik bliver
>> forwardet til (men det burde stå i en eller anden manual).
>
>Der står i manualen at man skal tildele klienten ip'en 10.141.95.1 og subnet
>255.0.0.0 (hvorfor et så kæmpe net, ved jeg ikke!?),

Hele 10.*.*.*-nettet er reserveret, og de laver åbenbart noget NAT hokus
pokus, siden du absolut skal have det ip-nr.

>men efter jeg har fået
>min public ip har jeg fået et brev hvor der står at jeg skal tildele
>maskinen ip'en 80.63.49.18 (der fik du ip'en :) og subnet 255.255.255.0 og
>bruge gw 80.63.49.1, det virker også godt nok hvis jeg via iptables
>fortæller modemet at alle klienter kommer fra den public ip.
>Nu kommer det underlige : Jeg har fundet ud af at hvis alle mine klienter er
>slukket (ikke webserveren) kan jeg godt få fat i min side udefra!?!?! Har
>du/i nogle ide om hvorfor??

Firewall'en sidder imellem modem'et og klienterne?

Mvh
Kent
--
echo f 0:0 ffff 0 | debug

---

Hej !

> Hele 10.*.*.*-nettet er reserveret, og de laver åbenbart noget NAT hokus
> pokus, siden du absolut skal have det ip-nr.
Ja, det ved jeg, syntes bare det er underligt at bruge et helt 255.0.0.0 net
?

> Firewall'en sidder imellem modem'et og klienterne?
Ja, firewallen har 2 netkort, hvorpå modemet (som har lan port) sidder på
det ene og min switch sidder på det andet (hvor mine klienter også sidder).

Mvh

Christoffer

---

Den Tue, 12 Feb 2002 17:56:20 +0100 skrev Duca:
>Hej !
>
>> Hele 10.*.*.*-nettet er reserveret, og de laver åbenbart noget NAT hokus
>> pokus, siden du absolut skal have det ip-nr.
>Ja, det ved jeg, syntes bare det er underligt at bruge et helt 255.0.0.0 net
>?

Sikkert pga. det der NAT-hokuspokus. Jeg kan forestille mig at de kører
hele kabelnettet som et stort logisk netværk.

>> Firewall'en sidder imellem modem'et og klienterne?
>Ja, firewallen har 2 netkort, hvorpå modemet (som har lan port) sidder på
>det ene og min switch sidder på det andet (hvor mine klienter også sidder).

Så kan jeg ikke se at klienterne skulle kunne påvirke noget som helst.
Check evt. at din masquerading / SNAT virker.

Mvh
Kent
--
If you think about it, Windows XP is actually the OS that
started as "Microsoft OS/2 NT 3.0"

---

> Så kan jeg ikke se at klienterne skulle kunne påvirke noget som helst.
> Check evt. at din masquerading / SNAT virker.

Hvordan kan jeg det?

Mvh

Christoffer

---

Den Tue, 12 Feb 2002 20:08:02 +0100 skrev Duca:
>
>> Så kan jeg ikke se at klienterne skulle kunne påvirke noget som helst.
>> Check evt. at din masquerading / SNAT virker.
>
>Hvordan kan jeg det?

Hmm, måske med en tcpdump på det externe interface på firewall'en, og
check at der ikke er nogen uønskede ip-numre imellem? (Jeg er faktisk
ikke sikker på hvor tcpdump tager fat i forhold til iptables).

Mvh
Kent
--
The frozen north will hatch a flightless bird,
who will spread his wings and dominate the earth
And cause an empire by the sea to fall
To the astonishment, and delight of all.

---

Hmmm burde disse to linier ikke være ens (altså i virkemåde) :

$IPTABLES -A PREROUTING -t nat -p tcp -d 80.63.49.18 --dport 80 -j DNAT --to
192.168.10.9:80

&

$IPTABLES -t nat -A PREROUTING -p tcp --dport 80 -i eth0 -j DNAT --to
192.168.10.9:80

Nå hvad pokker nu virker det!?! Men nu kommer næste spørgsmål :)

Mvh

Christoffer

---

Den Tue, 12 Feb 2002 23:43:04 +0100 skrev Duca:
>Hmmm burde disse to linier ikke være ens (altså i virkemåde) :
>
>$IPTABLES -A PREROUTING -t nat -p tcp -d 80.63.49.18 --dport 80 -j DNAT --to
>192.168.10.9:80
>
>&
>
> $IPTABLES -t nat -A PREROUTING -p tcp --dport 80 -i eth0 -j DNAT --to
>192.168.10.9:80

Nej, i den nederste er der ikke angivet nogen destinations-ip.

Mvh
Kent
--
Those who write "Optimized for Netscape" og "Best viewed with MSIE"
never figured out the difference between the WWW and a
Word Perfect 4.2 Document.