ipfilter 4.1.8 und NAT

[erisch]

Hallo

So, jetzt hab ich selbst ein Problem mit ipfilter.

Ich hab jetzt ipfilter-4.1.8 und pfil-2.1.6 unter Solaris 9 (aktueller Patchlevel) kompiliert und installiert.

Nun versuche ich NAT zum Laufen zu bekommen. Ich hatte vorher ipfilter-3.4.32 und alles funktionierte einwandfrei.
Nun funzt das NAT aber mit den alten Regeln nichtmehr. Auch ein einfaches "map 192.168.0.0/24 -> 0/32" geht nicht.
An der Firewall sollte es nicht liegen, die hat "pass in/out quick" eingestellt, ist also offen. IP Forwarding ist aktiviert.
Der Rechner selbst kann auch ins Netz, nur die restlichen Rechner im LAN nicht.
Ich hab dann mal ein "snoop -d sppp0" laufen lassen, da krieg ich bei einem Ping von einem Client-Rechner sowas:

"192.168.0.123 -> 194.25.2.129 ICMP Echo request (ID: 40261 Sequence number: 1)"

ipfilter scheint zwar die Anfrage weiterzuleiten, aber er setzt die Adresse nicht um. So denkt der Rechner der angepingt wird, dass es sich um eine lokale Adresse handelt. Normalerweise sollte da doch meine externe IP stehen, oder nicht?

Hat einer ne Idee, worans hapern könnte?

Mfg. Erisch

[ae]

tausch mal das 0/32 gegen any aus.

[paraglider242]

Hast du wirklich nur "map 192.168.0.0/24 -> 0/32" dort stehen? Falls ja: sollte heissen "map <interface> 192.168.0.0/24 -> 0/32"

[erisch]

ich hab natürlich das interface mit drin:
"map sppp0 192.168.0.0/24 -> 0/32"


das 0/32 gegen any zu tauschen brachte auch nix. Gibt es vielleicht noch irgendeinen Service der laufen muss, damit das funktioniert. Ich hab fast alle inetd Dienste ausgeklammert, nicht dass ich da einen zuviel wegoptimiert habe.

Aber meinees Wissens sollte es mit ip_forwarding=1 und ipnat getan sein.

Mfg. Erisch

[paraglider242]

hm... an inetd sollte es nicht liegen - ich hab den bei mir komplett gekillt.
Ich werd mir das daheim mal anschauen, soweit ich mich erinnern kann gibts da 2 Kernel-Variablen die man setzen muss - ich meld mich am Abend wieder...

[paraglider242]

so, hab im IPFilter-HOWTO zusätzlich folgendes gefunden:

ndd -set /dev/ip ip_forward_directed_broadcasts 0
ndd -set /dev/ip ip_forward_src_routed 0
ndd -set /dev/ip ip_respond_to_echo_broadcast 0

allerdings glaub ich nicht dass es daran liegt.

Hast du das pfil-package auch installiert? Was sagt 'ifconfig <interface> modlist'?

[erisch]

Also, die Kernel Parameter passen:

#ndd -get /dev/ip ip_forward_directed_broadcasts
0
#ndd -get /dev/ip ip_forward_src_routed
0
#ndd -get /dev/ip ip_respond_to_echo_broadcast
0

Das pfil Package ist natürlich auch installiert.
ifconfig <if> modlist scheint mit sppp0 nicht zu funktionieren:

#ifconfig sppp0 modlist
ifconfig: _I_MUXID2FD: sppp0: Invalid argument

Mit le0 gehts aber:

#ifconfig le0 modlist
0 arp
1 ip
2 pfil
3 le

Mfg. Erisch

[paraglider242]

schau mal hier - http://marc.theaimsgroup.com/?l=ipfilter&m=110217939730981&w=2 - dürfte anscheinend das selbe Problem sein...

[erisch]

Juhh, es funzt wieder.

Für alle die das selbe Problem irgendwann haben:

In die /etc/ppp/options muss ein Eintrag "plink" rein (war früher nicht nötig)

Und in die config für pfil muss das zu benutzende Interface mit rein:

/etc/opt/pfil/iu.ap:
       le      -1      0       pfil
       sppp    -1      0       pfil

So, dann klappts auch mit dem Nachbarn

Vielen Dank für Eure Tips, vor allem an den Fallschirmflieger
Meine Suche bei Google ist nicht auf diese Infos gestoßen, weil ich nach ipnat Solaris und ipfilter gesucht habe und in der Richtung kam ich nicht weiter. Hätte nicht gedacht, dass es mit pppd zusammenhängt.

Mfg. Erisch