---

Hej

jeg har en RH7.3 server med to netkort i, eth0 har forbindelsen til
ADSL linien og eth1 har til lokalnetværket. Jeg er gået ud fra
http://www.linuxbog.dk/admin/admin/linux-netvaerk-server.html, men det
lader ikke til at DHCP(dhcp-2.0pl5-8.rpm) serveren modtager
forespørgsler, dette er hvad jeg får ud af tail /var/log/messages:

Jun 3 23:51:51 test010 dhcpd: Listening on Socket/eth1/192.168.0.0
Jun 3 23:51:51 test010 dhcpd: Listening on Socket/eth1/192.168.0.0
Jun 3 23:51:51 test010 dhcpd: Sending on Socket/eth1/192.168.0.0
Jun 3 23:51:51 test010 dhcpd:
Jun 3 23:51:51 test010 dhcpd: Sending on Socket/eth1/192.168.0.0
Jun 3 23:51:51 test010 dhcpd: dhcpd startup succeeded

Jeg undrer mig iøvrigt over at den skriver de samme to linier to
gange?
Jeg prøver så release og renew på en windåse, men der kommer aldrig
flere linier i messages.

Jeg har også et WLAN, som er sat op statisk, det kan jeg med nmap se
er aktiveret, men her får jeg ikke en route videre ud, det gør jeg
kun fra serveren.

Hvad kan jeg have overset? Iøvrigt kan jeg ikke få lov til at
indsætte "ddns-update-style ad-hoc" i starten af dhcpd.conf, så
starter den ikke men kommer med en fejl.

/sbin/route:
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use
Iface
192.168.0.0 * 255.255.255.0 U 0 0 0
eth1
213.185.8.0 * 255.255.255.0 U 0 0 0
eth0
127.0.0.0 * 255.0.0.0 U 0 0 0
lo
default kbhn-vbrg-sr0-v 0.0.0.0 UG 0 0 0
eth0

dhcpd.conf:
#ddns-update-style ad-hoc; # Configuration file errors encountered --
exiting

subnet 192.168.0.0 netmask 255.255.255.0 {
range 192.168.0.128 192.168.0.191;
option subnet-mask 255.255.255.0;

# default gateway
option routers 192.168.0.1;

option domain-name "masterminds";
option domain-name-servers 81.88.9.218, 81.88.9.220;

default-lease-time 36000;
max-lease-time 86400;
}

subnet 213.185.8.0 netmask 255.255.255.0 {
deny booting;
}

/Kim Emax

---

Kim Emax skrev:
> Jeg har også et WLAN, som er sat op statisk, det kan jeg med nmap se
> er aktiveret, men her får jeg ikke en route videre ud, det gør jeg
> kun fra serveren.

Der var ikke lavet hul i firewallen til eth1, det er der gjort nu. Jeg
kan pinge den eksterne IP adresse, men ikke gatewayen. Jeg forestiller
mig at jeg mangler at route trafik fra eth1 videre til eth0 og ud i
verdenen, jeg har googlet mig til følgende:

/sbin/iptables -A FORWARD -i eth1 -o eth0
/sbin/iptables -A FORWARD -i eth0 -o eth1

Men jeg bruger ipchains på den gamle svend og den ikke acceptere andet
end portnumre til -o parameteret. Hvad gør jeg herfra?

/Kim Emax

---

On Mon, 05 Jun 2006 13:44:25 -0700, Kim Emax wrote:

> Men jeg bruger ipchains på den gamle svend og den ikke acceptere andet
> end portnumre til -o parameteret. Hvad gør jeg herfra?
Det er ikke noget så simpelt som, at du har glemt routing mellem
netkortene på serveren?

Forøvrigt findes iptables også til Redhat7.3!

--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917

---

On Mon, 05 Jun 2006 23:44:39 +0200, Michael Rasmussen wrote:

> Det er ikke noget så simpelt som, at du har glemt routing mellem
> netkortene på serveren?
>
Glemte:
/etc/sysctl.conf
net.ipv4.ip_forward = 1

--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917

---

Hej

Michael Rasmussen skrev:

> On Mon, 05 Jun 2006 23:44:39 +0200, Michael Rasmussen wrote:
>
> > Det er ikke noget så simpelt som, at du har glemt routing mellem
> > netkortene på serveren?
> >
> Glemte:
> /etc/sysctl.conf
> net.ipv4.ip_forward = 1

min fejl jeg ikke fik skrevet det, men den har jeg også rettet siden
min første posting. Jeg sidder med en ide om at jeg skal have lavet en
forward fra 192.168.0.1 (intern GW) til den eksterne GW

/Kim Emax

---

On Mon, 05 Jun 2006 23:23:47 -0700, Kim Emax wrote:

>
> min fejl jeg ikke fik skrevet det, men den har jeg også rettet siden min
> første posting. Jeg sidder med en ide om at jeg skal have lavet en
> forward fra 192.168.0.1 (intern GW) til den eksterne GW
>
Antagelse: Ekstern GW har følgende net og netmaske: 172.16.0.0/16

På intern GW
ipchains -P forward DENY
ipchains -F forward
ipchains -A forward -s 172.16.0.0/16 -j MASQ

--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917

---

Michael Rasmussen skrev:
> Antagelse: Ekstern GW har følgende net og netmaske: 172.16.0.0/16
>
> På intern GW
> ipchains -P forward DENY
> ipchains -F forward
> ipchains -A forward -s 172.16.0.0/16 -j MASQ

Den prøver jeg lige senere, når jeg er hjemme igen. Havde set lidt om
masquerade og POSTROUTING igår og tænkt jeg skulle google videre på
det, når jeg havde tid i aften. Fandt iøvrigt noget andet, der ikke
var sat korrekt;

[root@test010 root]# cat /proc/sys/net/ipv4/ip_forward
0
[root@test010 root]# echo 1 > /proc/sys/net/ipv4/ip_forward
[root@test010 root]# cat /proc/sys/net/ipv4/ip_forward
1

Desværre kan jeg ikke teste, før jeg er hjemme...
/Kim

---

Michael Rasmussen skrev:

> ipchains -P forward DENY
> ipchains -F forward
> ipchains -A forward -s 172.16.0.0/16 -j MASQ

-A forward -j MASQ -s 192.168.0.0/24 -d 0.0.0.0/0

gjorde tricket, super! Tak for hjælpen.

Er der en grund til at deny forward først?

/Kim Emax

---

On Tue, 06 Jun 2006 14:54:12 -0700, Kim Emax wrote:

> Er der en grund til at deny forward først?
>
Ja
// Default policy for chain forward: DENY
ipchains -P forward DENY
// Flush regler for chain forward
ipchains -F forward
// Tilføj ny regel til chain forward
ipchains -A forward -s 172.16.0.0/16 -j MASQ

Grunden til at default policy sættes til DENY, er indførslen af
princippet: Hvad der ikke eksplicit er tilladt, er forbudt. Altså, hvis
ikke der findes en matchende regel i kæden forward, vil ipchains falde
tilbage på default policy, som er DENY.

Er det en tilstrækkelig forklaring?

--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917

---

Kim Emax skrev:
> -A forward -j MASQ -s 192.168.0.0/24 -d 0.0.0.0/0
>
> gjorde tricket, super! Tak for hjælpen.

Iøvrigt har jeg også implementeret cbq, damn nice, så overboen ikke
længere suger hele forbindelsen, pææænt irriterende, når man
arbejder via SSH

/Kim Emax

---

Hej
Michael Rasmussen skrev:

> > Er der en grund til at deny forward først?
> >
> Ja
> // Default policy for chain forward: DENY
> ipchains -P forward DENY
> // Flush regler for chain forward
> ipchains -F forward
> // Tilføj ny regel til chain forward
> ipchains -A forward -s 172.16.0.0/16 -j MASQ
>
> Grunden til at default policy sættes til DENY, er indførslen af
> princippet: Hvad der ikke eksplicit er tilladt, er forbudt. Altså, hvis
> ikke der findes en matchende regel i kæden forward, vil ipchains falde
> tilbage på default policy, som er DENY.
>
> Er det en tilstrækkelig forklaring?

Sorry det sene svar. Forklaringen er fin, men der er andre ting ved
firewallen, der driller. Jeg opretter en ny tråd, da dette ikke
længere har så meget med den oprindelige problematik at gøre

/Kim Emax