psy@psy.bronderslev.dk (Bent Wagner) wrote:
>Det er meningen at man skal kunne bruge Internet fra lokalnettet.
Jeg går ud fra, at trafikken virker fint på hvert af de to netkort,
men maskinen kan bare ikke finde ud af at route trafikken mellem
lokalnettet og Internettet?
>Skal jeg kigge på noget iptables-NAT eller hvad.
Hvis du kører kerne 2.4, er der da mange andre fordele ved iptables,
men du behøver ikke gøre det for at få NAT.
>Lige nu bruger jeg ipchains, men skal på et tidspunkt have
>prøvet iptables alligevel.
Du kan også fint bruge ipchains. Tilføj følgende regler til dit
firewall-script (jeg går ud fra, at du har fået ændret din default
policy på forward-kæden til DENY eller REJECT):
# Luk for Windows netværkstrafik:
ipchains -A forward -p tcp -s 0/0 137:139 -j DENY
ipchains -A forward -p udp -s 0/0 137:139 -j DENY
# Kun hvis ingen klienter på netværket har behov for at
# snakke med eksterne smtp-servere:
# Luk smtp-trafik (mulig virus):
ipchains -A forward -p tcp -d 0/0 smtp -j DENY -l
# Masquerade anything that needs forwarding on the
# external interface (ppp0, usually)
ipchains -A forward -i eth0 -j MASQ
# Load the masquerading prototcol-modules
# This loads all of the modules in /lib/modules/2.2.x/ipv4/
for f in /lib/modules/`uname -r`/ipv4/*masq*.o; do
/sbin/modprobe `basename $f`
done
# Enable forwarding (needed for masquerading)
echo "1" >/proc/sys/net/ipv4/ip_forward
Ovenstående er et uddrag af scriptet på
www.sslug.dk/sikkerhed/ , som
jeg har redigeret lidt i. Hvis du kører kerne 2.4, skal du have ændret
lidt i afsnittet med protokol-modulerne, da *masq*.o er blevet
erstattet af netfilter/ip_conntrack*.o .
--
Allan Olesen, Lunderskov
"UNIX er overflødigt." - Lars P. Fischer