siradlib

dr. disk, Danke für Deine Antwort- Du hast natürlich recht! :old

Da NAT jetzt aber zu laufen scheint und weiter keine Probleme macht, buche ich es mal unter "Zusatznutzen".

Mein Problem der nicht erreichbaren Hosts (vom Netz 192.168.3.0 ins Netz 192.168.0.0) habe ich ganz einfach durch eine zusätzliche Netzwerkkarte gelöst (unter VMWare Server einfach "dazugeklickt"). Jetzt scheint es zu funktionieren.

Wenn jetzt der DHCP-Server nach dem Einschalten im Netz 192.168.0.0 wirklich nicht stört, bin ich glücklich.

Ich habe jetzt folgende Karten im Router:

eth0: Netz 192.168.0.0, Leitung zum Gateway (inkl. "störendem" DHCP-Server)

eth1: Netz 192.168.3.0 und 192.168.168.2.0, interne Netze

eth2: Netz 192.168.0.0, interne Drucker im Netz 192.168.0.0

eth1 und eth2 sitzen auf derselben physikalischen Karte, eth0 ist die Verbindung zum Gateway.

Routing:

Kernel IP routing table

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface

192.168.3.0     *               255.255.255.0   U     0      0        0 eth1

192.168.2.0     *               255.255.255.0   U     0      0        0 eth1

[I]192.168.0.0     *               255.255.255.0   U     0      0        0 eth1[/I]

192.168.0.0     *               255.255.255.0   U     0      0        0 eth2

192.168.0.0     *               255.255.255.0   U     0      0        0 eth0

default         192.168.0.9     0.0.0.0         UG    0      0        0 eth0

Irgendwie hab ich das seeeehr seltsam gelöst, fällt mir gerade auf: Nach einem

ifdown eth0

habe ich trotzdem noch eine Verbindung zum Gateway, was ja eigentlich nicht sein sollte. Oder? Andererseits sollte mir mein Router trotzdem die DHCP-Broadcasts blockieren, also wäre ich zufrieden. Ist vielleicht jemand so nett, eine bessere,elegantere Lösung zu skizzieren? Vielen Dank! Oh, noch eine Frage: Woher kommt denn in der Routingtabelle die kursive Zeile? Meine /etc/interfaces defeiniert nämlich keine IP im Netz 192.168.0.0 auf eth1- oder irre ich mich?

# The loopback network interface

auto lo

iface lo inet loopback


# aeusseres Interface - zum Internet

auto eth0

iface eth0 inet static

        address 192.168.0.50

        netmask 255.255.255.0

        network 192.168.0.0

        broadcast 192.168.0.255

        gateway 192.168.0.9

# inneres Interface - zum internen Netz

auto eth1

iface eth1 inet static

        address 192.168.3.1

        netmask 255.255.255.0

        broadcast 192.168.3.255

        network 192.168.3.0


auto eth1:1

iface eth1:1 inet static

        address 192.168.2.1

        netmask 255.255.255.0

        broadcast 192.168.2.255

        network 192.168.2.0


auto eth2

iface eth2 inet static

        address 192.168.0.55

        netmask 255.255.255.0

        broadcast 192.168.0.255

        network 192.168.0.0

Soweit hatte ich die Funktionsweise von NAT bisher auch verstanden: Die IP-Adressen im inneren Netz werden durch die IP-Adresse des externen Interfaces des NAT-Routers und eines Ports (> 1024) ersetzt.

Passiert nicht auf dem umgekehrten Weg (also von außen übers NAT nach innen) das Umgekehrte, d.h. die (externe) IP des NAT-Routers wird (mit Hilfe der Portnummer) auf der "inneren" Seite wieder in die ursprüngliche IP zurückgewandelt?

Soweit sollte das ja alles kein Problem sein- das Problem tritt dann auf, wenn ein Gerät "außen" von sich aus einen Host hinter dem NAT kontaktieren möchte.

Insofern vermute ich hier das Problem. Vermute ich richtig? Und wenn ja, was kann ich tun?

Brauche ich vielleicht eine völlig andere Konstruktion?

Hallo,

zunächst: Ich bin ziemlicher Anfänger, was iptables angeht, also

lacht mich bitte nicht aus. ;-)

ich habe zwei interne Netze konfiguriert- zwischen diesen Netzen

macht ein Linux-Router (Debian) Masquerading:

"innen"                                   "außen"

192.168.3.1-eth1 --> NAT --> 192.168.0.50-eth0 --> Restnetz

In diesem "äußeren Netz"/Restnetz (hinter eth0) sitzt z.B. auch ein Internetrouter. Das klappt soweit ganz gut, ich kann vom Netz 192.168.3.x aus ins Internet. Jetzt habe ich im Netz 192.168.0.0 in paar Drucker, auf die ich aus dem 192.168.3.0-Netz gerne über IPP (oder SMB) zugreifen möchte. Leider klappt z.B. schon ein simples "ping 192.168.0.48" nicht (wobei 192.168.0.48 so ein Drucker ist). Auch habe ich im internen Netz 192.168.3.0 einen Drucker, auf das ich gerne aus dem Netz 192.168.0.0 zugreifen möchte. (Falls es einfacher ist, kann ich den Drucker aus dem Netz 192.168.3.0 nach 192.168.0.0 umlegen.) Hat jemand eine Ahnung warum und gibt mir Tipps? Was mache ich falsch? Geht das so überhaupt? Sinn der ganzen Übung ist es, DHCP-Antworten aus dem äußeren Netz (192.168.0.x) nicht ins innere (192.168.3.x) kommen zu lassen- für das innere Netz soll nämlich ein eigener DHCP-Server verwendet werden und Geräte des Netzes 192.168.3.0 sollen keine Antworten von einem DHCP-Server im Netz 192.168.0.0 bekommen. Mein kleines iptables-Skript:

# !/bin/sh

iptables --flush

iptables -t nat --flush

iptables --delete-chain

iptables -t nat --delete-chain

# enable masquerading

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

iptables -A FORWARD -i eth0 -j ACCEPT

# block dhcp offers from the outside

iptables -A INPUT -i eth0 -p udp --dport 67:68 --sport 67:68 -j DROP

# FTP through NAT

modprobe ip_conntrack_ftp

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

Interfaces:

eth0      Link encap:Ethernet  HWaddr 00:0C:29:EC:81:2D

          inet addr:192.168.0.50  Bcast:192.168.0.255  Mask:255.255.255.0

          inet6 addr: fe80::20c:29ff:feec:812d/64 Scope:Link

          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

          RX packets:366904 errors:0 dropped:0 overruns:0 frame:0

          TX packets:183703 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 txqueuelen:1000

          RX bytes:340159697 (324.4 MiB)  TX bytes:40015784 (38.1 MiB)

          Interrupt:169 Base address:0x1400


eth1      Link encap:Ethernet  HWaddr 00:0C:29:EC:81:37

          inet addr:192.168.3.1  Bcast:192.168.3.255  Mask:255.255.255.0

          inet6 addr: fe80::20c:29ff:feec:8137/64 Scope:Link

          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

          RX packets:92336 errors:0 dropped:0 overruns:0 frame:0

          TX packets:245388 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 txqueuelen:1000

          RX bytes:14241616 (13.5 MiB)  TX bytes:309458987 (295.1 MiB)

          Interrupt:177 Base address:0x1480


eth1:1    Link encap:Ethernet  HWaddr 00:0C:29:EC:81:37

          inet addr:192.168.2.1  Bcast:192.168.2.255  Mask:255.255.255.0

          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

          Interrupt:177 Base address:0x1480


eth1:2    Link encap:Ethernet  HWaddr 00:0C:29:EC:81:37

          inet addr:192.168.0.55  Bcast:192.168.0.255  Mask:255.255.255.0

          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

          Interrupt:177 Base address:0x1480


lo        Link encap:Local Loopback

          inet addr:127.0.0.1  Mask:255.0.0.0

          inet6 addr: ::1/128 Scope:Host

          UP LOOPBACK RUNNING  MTU:16436  Metric:1

          RX packets:62 errors:0 dropped:0 overruns:0 frame:0

          TX packets:62 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 txqueuelen:0

          RX bytes:5803 (5.6 KiB)  TX bytes:5803 (5.6 KiB)

Route:

Kernel IP routing table

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface

bizhubc450.acad 192.168.0.55    255.255.255.255 UGH   0      0        0 eth1

192.168.3.0     *               255.255.255.0   U     0      0        0 eth1

192.168.2.0     *               255.255.255.0   U     0      0        0 eth1

192.168.0.0     *               255.255.255.0   U     0      0        0 eth0

192.168.0.0     *               255.255.255.0   U     0      0        0 eth1

default         192.168.0.9     0.0.0.0         UG    0      0        0 eth0