---

Hejsa NG,

Jeg har kompileret min 2.4.18 kerne med NAT, men det virker vel ikke pr.
default? Hvis ikke, kan I så en nem og hurtig måde til en standard
opsætning, eller en henvisning måske? De steder jeg har fundet på nettet,
siger mig ikke så meget Jeg skal "bare" have mit lokalnet (10.0.0.0) på.


--
Mvh
Tonni Aagesen
agent29@mail1.stofanet.dk

---

On Wed, 10 Apr 2002 18:39:35 +0200, Tonni Aagesen wrote:

> Hejsa NG, Jeg har kompileret min 2.4.18 kerne med NAT, men det
> virker vel ikke pr. default? Hvis ikke, kan I så en nem og hurtig
> måde til en standard opsætning, eller en henvisning måske? De steder
> jeg har fundet på nettet, siger mig ikke så meget Jeg skal
> "bare" have mit lokalnet (10.0.0.0) på.

Har du kigget i Linux 2.4 NAT HOWTO - f.ex. punktet "I just want
masquerading! Help!":

http://netfilter.samba.org/documentation/HOWTO/NAT-HOWTO-4.html#ss4.1

?

,

--
"Ett, två, tre, pang på rödbetan." Adam Sjøgren
asjo@koldfront.dk

---

"Adam Sjøgren" <spamtrap@koldfront.dk> skrev i en meddelelse
news:87k7rf33cr.fsf@virgil.koldfront.dk...

> Har du kigget i Linux 2.4 NAT HOWTO - f.ex. punktet "I just want
> masquerading! Help!":
>
> http://netfilter.samba.org/documentation/HOWTO/NAT-HOWTO-4.html#ss4.1

Nu har jeg Takker!

Men vil denne kommando...:

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

....have den effekt at klienter på mit lokalnet kan gå på nettet med div.
programmer, hvis bare de har linuxboxen som gateway?

Jeg har endnu ikke sat nogle begrænsninger på forbindelser.

--
Mvh
Tonni Aagesen
agent29@mail1.stofanet.dk

---

Den Wed, 10 Apr 2002 20:24:07 +0200 skrev Tonni Aagesen:
>"Adam Sjøgren" <spamtrap@koldfront.dk> skrev i en meddelelse
>news:87k7rf33cr.fsf@virgil.koldfront.dk...
>
>> Har du kigget i Linux 2.4 NAT HOWTO - f.ex. punktet "I just want
>> masquerading! Help!":
>>
>> http://netfilter.samba.org/documentation/HOWTO/NAT-HOWTO-4.html#ss4.1
>
>Nu har jeg Takker!
>
>Men vil denne kommando...:
>
>iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
>
>...have den effekt at klienter på mit lokalnet kan gå på nettet med div.
>programmer, hvis bare de har linuxboxen som gateway?

Hvis din internetforbindelse sidder på eth0, og klienterne ikke gør, ja.

Mvh
Kent
--
Advarsel: ny e-mail adresse - med risiko for at mails går tabt.
Den gamle adresse virker stadig, men bliver primært checket i
arbejdstiden.

---

Tonni Aagesen wrote:

> Men vil denne kommando...:
>
> iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
>
> ...have den effekt at klienter på mit lokalnet kan gå på nettet med div.
> programmer, hvis bare de har linuxboxen som gateway?

Det skulle gerne virke problemfrit, hvis eth0 er netkortet, der vender ud
mod internettet.

Overvej desuden at kigge på ftp- og irc-modulerne - samt evt. newnat+H323,
hvis du bruger videokonferenceprogrammer ol. (sidstnævnte kræver patchning
og genoversættelse af kernen).

Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
"Aren't you ashamed of yourself?"
"No, I have people to do that for me."
----------------------------------[ moffe at amagerkollegiet dot dk ] --

---

"Rasmus Bøg Hansen" <moffespam@amagerkollegiet.dk> skrev i en meddelelse
news:a926gh$66s$2@carlsberg.amagerkollegiet.dk...

> Overvej desuden at kigge på ftp- og irc-modulerne

De er med

> samt evt. newnat+H323,
> hvis du bruger videokonferenceprogrammer ol. (sidstnævnte kræver patchning
> og genoversættelse af kernen).

Jeg ved ikke helt hvad det er, men hvis det ikke er nødvendigt for ICQ m.m.,
betyder det ikke noget.


--
Mvh
Tonni Aagesen
agent29@mail1.stofanet.dk

---

Tonni Aagesen wrote:

>> samt evt. newnat+H323,
>> hvis du bruger videokonferenceprogrammer ol. (sidstnævnte kræver
>> patchning og genoversættelse af kernen).
>
> Jeg ved ikke helt hvad det er, men hvis det ikke er nødvendigt for ICQ
> m.m., betyder det ikke noget.

H.323 er tele- og videokonferenceprogrammer såsom NetMeeting (ups, undskyld
- jeg har aldrig brugt den slags selv, så jeg kender ingen programmer til
formålet).

ICQ virker problemfrit så længe du ikke roder dig ud i filoverførsler,
chatsessioner ol. De kan bringes til at virke den ene vej (jeg mener du kan
sende filer men ikke modtage), men ikke den anden. Jeg ved ikke, om noget
er under udarbejdelse til iptables, men jeg tror det ikke.

Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
He has his own opinions
- just like the others.
- Burnin' Red Ivanhoe
----------------------------------[ moffe at amagerkollegiet dot dk ] --

---

"Tonni Aagesen" <use.my@signature.com> writes:

> Men vil denne kommando...:
>
> iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
>
> ...have den effekt at klienter på mit lokalnet kan gå på nettet med div.
> programmer, hvis bare de har linuxboxen som gateway?

Ja, forudsat at du har enablet ip-forwarding med:

echo 1 > /proc/sys/net/ipv4/ip_forward

og eth0 er det netkort der vender ud mod internettet.

Programmer udefra vil ikke kunne oprette forbindelser ind til fx en
webserver på en af dine maskiner, der er du nødt til at lave nogle
forwards med noget i stil med:

iptables -t nat -A PREROUTING --protocol tcp --destination-port <port-nummer> -j DNAT --to 10.2.3.4

Hvor 10.2.3.4 IP-adressen på den maskine der skal forwardes pakker
til.

--
Jacob - www.bunk.cc
When you are in it up to your ears, keep your mouth shut.

---

"Jacob Bunk Nielsen" <spam@bunk.cc> skrev i en meddelelse
news:spamdrop+m3elhn4cyt.fsf@paven.bunk.cc...

> > ...have den effekt at klienter på mit lokalnet kan gå på nettet med div.
> > programmer, hvis bare de har linuxboxen som gateway?
>
> Ja, forudsat at du har enablet ip-forwarding med:

Hvad sker der her?

Devbox# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables: No chain/target/match by that name

> echo 1 > /proc/sys/net/ipv4/ip_forward

Skal det gøres inden en iptables kommando?

> og eth0 er det netkort der vender ud mod internettet.

Jeps


--
Mvh
Tonni Aagesen
agent29@mail1.stofanet.dk

---

"Tonni Aagesen" <use.my@signature.com> writes:

> Devbox# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
> iptables: No chain/target/match by that name

Formodentligt at du ikke har understøttelse for iptables_nat i din
kerne.

--
Emacs er det eneste moderne styresystem der ikke er multitrådet.

---

"Peter Makholm" <peter@makholm.net> skrev i en meddelelse
news:87g0239vvt.fsf@xyzzy.adsl.dk...

> Formodentligt at du ikke har understøttelse for iptables_nat i din
> kerne.

Men det har jeg... Kernen er nyligt kompileret og installeret.

Andre idéer?


--
Mvh
Tonni Aagesen
agent29@mail1.stofanet.dk

---

Tonni Aagesen wrote:

> "Peter Makholm" <peter@makholm.net> skrev i en meddelelse
> news:87g0239vvt.fsf@xyzzy.adsl.dk...
>
>> Formodentligt at du ikke har understøttelse for iptables_nat i din
>> kerne.
>
> Men det har jeg... Kernen er nyligt kompileret og installeret.
>
> Andre idéer?

At du har glemt MASQUERADE-modulet? At du har glemt at køre 'make
modules_install'?

Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
Man invented language to satisfy his deep need to complain.
-- Lily Tomlin
----------------------------------[ moffe at amagerkollegiet dot dk ] --

---

"Tonni Aagesen" <use.my@signature.com> writes:

>> Formodentligt at du ikke har understøttelse for iptables_nat i din
>> kerne.
>
> Men det har jeg... Kernen er nyligt kompileret og installeret.

Sikker?
Prøv lige at lave en 'grep -i nat /usr/src/linux/.config'.

--
Jacob - www.bunk.cc
Each person has the right to take the subway.

---

"Jacob Bunk Nielsen" <spam@bunk.cc> skrev i en meddelelse
news:spamdrop+m3adsb48p9.fsf@paven.bunk.cc...

> Sikker?
> Prøv lige at lave en 'grep -i nat /usr/src/linux/.config'.

Devbox# grep -i nat /usr/src/kernel-source-2.4.18/.config
CONFIG_IP_NF_NAT=y
CONFIG_IP_NF_NAT_NEEDED=y
CONFIG_IP_NF_NAT_IRC=y
CONFIG_IP_NF_NAT_FTP=y
# CONFIG_NATSEMI is not set
# Native Language Support

Hvad siger det dig... nu er jeg jo pludselig ikke sikker længere


--
Mvh
Tonni Aagesen
agent29@mail1.stofanet.dk

---

"Tonni Aagesen" <use.my@signature.com> writes:

>> Prøv lige at lave en 'grep -i nat /usr/src/linux/.config'.
>
> Devbox# grep -i nat /usr/src/kernel-source-2.4.18/.config
> CONFIG_IP_NF_NAT=y
> [ ... ]
>
> Hvad siger det dig... nu er jeg jo pludselig ikke sikker længere

Det ser rigtigt ud. Så skal du lige prøve 'grep -i masq
/usr/src/linux/.config', fandt jeg lige ud af

Den skal gerne give noget i retning af:

# grep -i masq /usr/src/linux/.config
CONFIG_IP_NF_TARGET_MASQUERADE=y

--
Jacob - www.bunk.cc
/earth is 98% full ... please delete anyone you can.

---

"Jacob Bunk Nielsen" <spam@bunk.cc> skrev i en meddelelse
news:spamdrop+m3662z4777.fsf@paven.bunk.cc...

> Det ser rigtigt ud. Så skal du lige prøve 'grep -i masq
> /usr/src/linux/.config', fandt jeg lige ud af
> Den skal gerne give noget i retning af:
>
> # grep -i masq /usr/src/linux/.config
> CONFIG_IP_NF_TARGET_MASQUERADE=y

Ding dong dynamolygte

Devbox# grep -i masq /usr/src/kernel-source-2.4.18/.config
# CONFIG_IP_NF_TARGET_MASQUERADE is not set

Så kan jeg vel godt gå i gang med at kompilere kerne igen?

Kan du lave en liste over de nødvendige ting? Med den ringe viden, jeg har
om emnet, tror jeg måske, jeg har for meget med


--
Mvh
Tonni Aagesen
agent29@mail1.stofanet.dk

---

Rasmus Bøg Hansen <moffespam@amagerkollegiet.dk> writes:

> ICQ virker problemfrit så længe du ikke roder dig ud i filoverførsler,
> chatsessioner ol. De kan bringes til at virke den ene vej (jeg mener du kan
> sende filer men ikke modtage), men ikke den anden. Jeg ved ikke, om noget
> er under udarbejdelse til iptables, men jeg tror det ikke.

Hvis man vil arbejde lidt for det, så kan ICQ skam også fint komme til
at virke begge veje.

For at sende filer og den slags kræves der ikke noget andet end
almindelig masquerading. For at modtage er man nødt til at tvinge sin
ICQ til at lytte på et forudbestemt portrange (ICQ2001 og ICQ2002 fra
www.icq.com har en bug, så man skal lige kigge på
<http://www.tuneld.com/icqbug.html>. I Licq virker det uden
problemer).

Derefter kan man forwarde de porte man har bedt sin ICQ om at lytte på
med:

iptables -t nat -A PREROUTING --protocol tcp --dport <port> -j DNAT --to <LAN-IP>

(frit fra hukommelsen med forbehold for dårlig hukommelse ;)

--
Jacob - www.bunk.cc
I know it all. I just can't remember it all at once.

---

"Tonni Aagesen" <use.my@signature.com> writes:

> Devbox# grep -i masq /usr/src/kernel-source-2.4.18/.config
> # CONFIG_IP_NF_TARGET_MASQUERADE is not set

Ups :-\

> Så kan jeg vel godt gå i gang med at kompilere kerne igen?

Yep.

> Kan du lave en liste over de nødvendige ting? Med den ringe viden, jeg har
> om emnet, tror jeg måske, jeg har for meget med

Nej, det kommer jo an på hvad du skal bruge. Jeg bruger det meste af
det der står under netfilter-konfigurationen i menuconfig. Det er ikke
sikkert du vil bruge det hele, men det gør oftest ikke den store skade
at have tingene med, og så sidder du ikke og skal til at oversætte
kerne igen når du finder på noget nyt du gerne vil bruge.

--
Jacob - www.bunk.cc
Everything bows to success, even grammar.

---

"Jacob Bunk Nielsen" <spam@bunk.cc> skrev i en meddelelse
news:spamdrop+m3vgaz2r87.fsf@paven.bunk.cc...

> > Så kan jeg vel godt gå i gang med at kompilere kerne igen?
>
> Yep.

Den står allerede og koger Jeg sagde Y til hele bulen... måske er der
noget jeg får brug for senere
Jeg burde måske ha kompileret noget af det som moduler, men med mindre der
er en risiko ved at kompilere at for netfilter direkte ind i kernen (???),
spiller det ingen rolle.

Tak for hjælpen, nu glæder jeg mig til at maskinen kan komme uden for
hørevidde


--
Mvh
Tonni Aagesen
agent29@mail1.stofanet.dk

---

"Tonni Aagesen" <use.my@signature.com> writes:

> Jeg burde måske ha kompileret noget af det som moduler, men med mindre der
> er en risiko ved at kompilere at for netfilter direkte ind i kernen (???),
> spiller det ingen rolle.

Ikke hvad jeg ved af, men jeg følger heller ikke kernelisten

--
Jacob - www.bunk.cc
Trouble always comes at the wrong time.

---

"Tonni Aagesen" <use.my@signature.com> writes:

> Jeg har kompileret min 2.4.18 kerne med NAT, men det virker vel ikke pr.
> default? Hvis ikke, kan I så en nem og hurtig måde til en standard
> opsætning, eller en henvisning måske? De steder jeg har fundet på nettet,
> siger mig ikke så meget Jeg skal "bare" have mit lokalnet (10.0.0.0) på.

<http://www.sslug.dk/sikkerhed/netfilter.html> er IMHO et besøg værd.
Der er et relativt simpelt firewall-script, som også viser
masquerading (jeg går ud fra at det er det du mener med NAT, som jo er
mere end masquerading).

--
Jacob - www.bunk.cc
You never hesitate to tackle the most difficult problems.