Superuser

Autor Thema: ipfilter 4.1.8 und NAT  (Gelesen 3586 mal)

Offline erisch

  • Moderatoren
  • Sobl Guru
  • *****
  • Beiträge: 758
  • TurboSPAAAAAG
    • erisch.homeunix.net
ipfilter 4.1.8 und NAT
« am: 19. April 2005, 00:03:34 »
Hallo

So, jetzt hab ich selbst ein Problem mit ipfilter.

Ich hab jetzt ipfilter-4.1.8 und pfil-2.1.6 unter Solaris 9 (aktueller Patchlevel) kompiliert und installiert.

Nun versuche ich NAT zum Laufen zu bekommen. Ich hatte vorher ipfilter-3.4.32 und alles funktionierte einwandfrei.
Nun funzt das NAT aber mit den alten Regeln nichtmehr. Auch ein einfaches "map 192.168.0.0/24 -> 0/32" geht nicht.
An der Firewall sollte es nicht liegen, die hat "pass in/out quick" eingestellt, ist also offen. IP Forwarding ist aktiviert.
Der Rechner selbst kann auch ins Netz, nur die restlichen Rechner im LAN nicht.
Ich hab dann mal ein "snoop -d sppp0" laufen lassen, da krieg ich bei einem Ping von einem Client-Rechner sowas:

"192.168.0.123 -> 194.25.2.129 ICMP Echo request (ID: 40261 Sequence number: 1)"

ipfilter scheint zwar die Anfrage weiterzuleiten, aber er setzt die Adresse nicht um. So denkt der Rechner der angepingt wird, dass es sich um eine lokale Adresse handelt. Normalerweise sollte da doch meine externe IP stehen, oder nicht?

Hat einer ne Idee, worans hapern könnte?

Mfg. Erisch

sonnenblen.de - Das unabhängige Sun User Forum

ipfilter 4.1.8 und NAT
« am: 19. April 2005, 00:03:34 »

ae

  • Gast
Re: ipfilter 4.1.8 und NAT
« Antwort #1 am: 19. April 2005, 01:31:53 »
tausch mal das 0/32 gegen any aus.

paraglider242

  • Gast
Re: ipfilter 4.1.8 und NAT
« Antwort #2 am: 19. April 2005, 02:35:45 »
Hast du wirklich nur "map 192.168.0.0/24 -> 0/32" dort stehen? Falls ja: sollte heissen "map <interface> 192.168.0.0/24 -> 0/32"

Offline erisch

  • Moderatoren
  • Sobl Guru
  • *****
  • Beiträge: 758
  • TurboSPAAAAAG
    • erisch.homeunix.net
Re: ipfilter 4.1.8 und NAT
« Antwort #3 am: 19. April 2005, 03:05:41 »
ich hab natürlich das interface mit drin:
"map sppp0 192.168.0.0/24 -> 0/32"


das 0/32 gegen any zu tauschen brachte auch nix. Gibt es vielleicht noch irgendeinen Service der laufen muss, damit das funktioniert. Ich hab fast alle inetd Dienste ausgeklammert, nicht dass ich da einen zuviel wegoptimiert habe.

Aber meinees Wissens sollte es mit ip_forwarding=1 und ipnat getan sein.

Mfg. Erisch

paraglider242

  • Gast
Re: ipfilter 4.1.8 und NAT
« Antwort #4 am: 19. April 2005, 13:04:21 »
hm... an inetd sollte es nicht liegen - ich hab den bei mir komplett gekillt.
Ich werd mir das daheim mal anschauen, soweit ich mich erinnern kann gibts da 2 Kernel-Variablen die man setzen muss - ich meld mich am Abend wieder...

paraglider242

  • Gast
Re: ipfilter 4.1.8 und NAT
« Antwort #5 am: 20. April 2005, 01:04:55 »
so, hab im IPFilter-HOWTO zusätzlich folgendes gefunden:

ndd -set /dev/ip ip_forward_directed_broadcasts 0
ndd -set /dev/ip ip_forward_src_routed 0
ndd -set /dev/ip ip_respond_to_echo_broadcast 0

allerdings glaub ich nicht dass es daran liegt.

Hast du das pfil-package auch installiert? Was sagt 'ifconfig <interface> modlist'?
« Letzte Änderung: 20. April 2005, 01:05:27 von paraglider242 »

Offline erisch

  • Moderatoren
  • Sobl Guru
  • *****
  • Beiträge: 758
  • TurboSPAAAAAG
    • erisch.homeunix.net
Re: ipfilter 4.1.8 und NAT
« Antwort #6 am: 20. April 2005, 02:57:44 »
Also, die Kernel Parameter passen:

#ndd -get /dev/ip ip_forward_directed_broadcasts
0
#ndd -get /dev/ip ip_forward_src_routed
0
#ndd -get /dev/ip ip_respond_to_echo_broadcast
0

Das pfil Package ist natürlich auch installiert.
ifconfig <if> modlist scheint mit sppp0 nicht zu funktionieren:

#ifconfig sppp0 modlist
ifconfig: _I_MUXID2FD: sppp0: Invalid argument

Mit le0 gehts aber:

#ifconfig le0 modlist
0 arp
1 ip
2 pfil
3 le

Mfg. Erisch

paraglider242

  • Gast
Re: ipfilter 4.1.8 und NAT
« Antwort #7 am: 20. April 2005, 15:00:03 »
schau mal hier - http://marc.theaimsgroup.com/?l=ipfilter&m=110217939730981&w=2 - dürfte anscheinend das selbe Problem sein...

Offline erisch

  • Moderatoren
  • Sobl Guru
  • *****
  • Beiträge: 758
  • TurboSPAAAAAG
    • erisch.homeunix.net
Re: ipfilter 4.1.8 und NAT
« Antwort #8 am: 21. April 2005, 01:12:13 »
Juhh, es funzt wieder.

Für alle die das selbe Problem irgendwann haben:

In die /etc/ppp/options muss ein Eintrag "plink" rein (war früher nicht nötig)

Und in die config für pfil muss das zu benutzende Interface mit rein:

/etc/opt/pfil/iu.ap:
       le      -1      0       pfil
       sppp    -1      0       pfil

So, dann klappts auch mit dem Nachbarn ;)

Vielen Dank für Eure Tips, vor allem an den Fallschirmflieger ;)
Meine Suche bei Google ist nicht auf diese Infos gestoßen, weil ich nach ipnat Solaris und ipfilter gesucht habe und in der Richtung kam ich nicht weiter. Hätte nicht gedacht, dass es mit pppd zusammenhängt.

Mfg. Erisch