sonnenblen.de - Das unabhängige Sun User Forum

Betriebssysteme => Solaris => Thema gestartet von: macadam am 24. Februar 2003, 12:47:57

Titel: sunscreen
Beitrag von: macadam am 24. Februar 2003, 12:47:57

Hi, ich bin ueber die Doku Solaris 8 von Sven Mischkies auf diese Site aufmerksam geworden. Ich finde diese Doku sehr ausfuehrlich und gut, bis auf die Stelle, wo SunScreen Lite installiert wird. Die Installation an sich macht keine Probleme nur, und das ist meine Frage: wie konfiguriere ich in SunScreen Lite das device sppp0 fuer dynamic NAT, um ueber T-DSL Flat meinen anderen Maschinen einen Netzzugang zu ermoeglichen? Wer kann mir dazu Information bieten? Thx

Titel: Re: sunscreen
Beitrag von: Lordy am 24. Februar 2003, 15:08:23

Sollte ich können, aber erst am Abend, muss die Informationen zu Hause raussuchen.

Gruss,
chris

Titel: Re: sunscreen
Beitrag von: Lordy am 25. Februar 2003, 15:54:34

Hey,

ich weiss jetzt nicht inwieweit das past, aber hier einmal die Config für Solaris9 Sunscreen 3.2:

Dynamic Network Address Translation (NAT)
============================================
  For demonstration purposes, we will assume that you have two network adapters, and
  that you are trying to translate packets from your "internal" network interface,
  172.16.10.1/24, to an Internet routable IP address on your "public" network interface.
  Simply adjust the references of the 172.16.10.0 network and hosts to match your
  network configuration.

  1. Run "ssadm edit Initial"
     ---
     Issue:
     add ADDRESS "ifInternal" HOST 172.16.10.1
     add ADDRESS "ipPublic" GROUP { localhost } { ifInternal }
     add ADDRESS "netInternal" RANGE 172.16.10.2 172.16.10.255
     add ADDRESS "ipInternet" GROUP { * } { netInternal }
     add NAT DYNAMIC "netInternal" "ipInternet" "ipPublic" "ipInternet"
     save
     quit
     ---
     
  2. Then you will need to reactivate your screen by typing "ssadm activate Initial"

Ich hoffe das sich da bei Solaris9 nichts geändert hat und das auch so bei Solaris 8 SunScreen Lite läuft. Wenn nicht, melde dich einfach, dann wird sich schon noch was finden lassen.


Gruss,
chris

Titel: Re: sunscreen
Beitrag von: macadam am 25. Februar 2003, 16:08:35

Danke, Chris! Will ich heute abend doch gleich mal testen.

Titel: Re: sunscreen
Beitrag von: Lordy am 25. Februar 2003, 18:56:18

Kein Problem, ich drück dir mal die Daumen.


chris

Titel: Re: sunscreen
Beitrag von: macadam am 26. Februar 2003, 00:42:08

Hat leider nicht geklappt. Meine Eingaben:

castor# ssadm edit DomiForis
Loaded common objects from Registry version 23
Loaded policy from DomiForis version 35
edit> add ADDRESS "ifInternal" HOST 192.168.1.1
edit> add ADDRESS "ipPublic" GROUP {localhost} {ifInternal}
edit> add ADDRESS "netInternal" RANGE 192.168.1.2 198.168.1.5
edit> add ADDRESS "ipInternet" GROUP {*} {netInternal}
edit> add NAT DYNAMIC "netInternal" "ipInternet" "ipPublic" "ipInternet"
edit> save
Saved common objects to Registry version 24
Saved policy to DomiForis version 36
edit> quit

Folgender Fehler ist aufgetaucht:

castor# ssadm activate DomiForis
"ipPublic" Address(es) have no value and cannot be used in a NAT Rule.
Lite only supports 10 NAT addresses.
Too many source addresses: 100663305
compiler error
- - - - - - - - -

Bei der RANGE Angabe bin schon von vornherein auf max. 6. Aber der Knackpunkt scheint bei "ipPublic" zu liegen! Was muss ich daran aendern?

Gruss,
Erwin

Titel: Re: sunscreen
Beitrag von: Lordy am 26. Februar 2003, 01:12:28

Hey,

meine Documentationen betreffen leider alle nur SunScreen 3.2, vielleicht liegt es drann. Da ich mich jetzt aber nicht wirklich gut mit SunScreen auskenne must du dir das wohl selber erarbeiten.

http://docs.sun.com/db/doc/806-6348/6jfa1eooo?q=sunscreen+lite&a=view
Das sind die NAT Expamles von SunScreen 3.2

http://docs.sun.com/db/doc/806-6348
Das ist der ganze SunScreen 3.2 Admin Guide

http://docs.sun.com/doc/806-4127
Das ist der Sun Screen Lite Admin Guide

Ich hoffe das hilft dir weiter, wuerd mich freuen wenn du die Loesung hier auch public machst. (Ich geh mal ganz fest davon aus das du sie findest! ;) )

Sollt ich noch was finden informier ich dich naetuerlich.


Gruss,
chris

Titel: Re: sunscreen
Beitrag von: SunROOT# am 27. Februar 2003, 02:17:39

... schonmal am "dynamischen" Interface als PublicIP die "0.0.0.0" im Rule Set getestet ?

Titel: Re: sunscreen
Beitrag von: macadam am 27. Februar 2003, 11:10:22

...nein, bis jetzt noch nicht. Ich habe dort immer die IP uebernommen, die ich erhalten habe, wenn die Verbindung etabliert war. Will ich aber mal testen!
Ich sehe da auch noch ein anderes Problem. Normalerweise sollte an dieser Stelle auch noch ein "arp -s" gesetzt werden. Das geht aber auch nicht, weil sppp0 dort zwar eine IP hat aber bei "ether" stets einen 0- Eintrag, Bspl: ether 0:0:0....

Titel: Re: sunscreen
Beitrag von: macadam am 11. März 2003, 12:38:57

Zitat

... schonmal am "dynamischen" Interface als PublicIP die "0.0.0.0" im Rule Set getestet ?

Hi, SunROOT,
ich habe den Tipp ausprobiert, bin aber leider noch keinen Schritt weiter gekommen. Ich habe das Problem inzwischen auch mit weiteren Kollegen besprochen. Deren Vorschlag: wechseln zu IP-Filter. Damit solls gut funktionieren. Werde ich nun auch versuchen!

Titel: Re: sunscreen
Beitrag von: macadam am 15. März 2003, 20:23:30

Hi Leute,
wie gesagt, ich wollte es mit ip-filter ausprobieren und siehe da - es funktionierte auf anhieb. Tolle Software, kann ich nur weiter empfehlen. Ist zwar alles "command line" orientiert, aber dafuer geht das alles top. Bietet viele Features! Jetzt wird als naechstes die ip-firewall konfiguriert!