aLgE Geschrieben 23. März 2005 Geschrieben 23. März 2005 hi leutz.. ich habe mir ein script gebastelt aber irgendwie funzt das nicht... seht ihr vielleicht den fehler.. das script soll nur eine mac adresse routen. #! /bin/sh iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE iptables -P FORWARD DROP iptables -A FORWARD -mac mac --mac-source 00:11:22:33:44:55 -j ACCEPT #ende eigentlich müsste das doch gehen aber er routet nicht *grrr* mfg alge
coldhand Geschrieben 23. März 2005 Geschrieben 23. März 2005 Hallo, ich würde es mal so probieren: iptables -A FORWARD -m mac --mac-source 00:11:22:33:44:55 -j ACCEPT weil iptables meckert bei : iptables -A FORWARD -mac mac --mac-source 00:11:22:33:44:55 -j ACCEPT und laut man sollte das erste richtig sein.. hat meine fw zumindest akzeptiert... Gruß Dennis
aLgE Geschrieben 23. März 2005 Autor Geschrieben 23. März 2005 mist, ich habe mich oben vertippt.. ich hatte es so aber es klappt trotzdem nicht... iptables schluckt alles aber irgendwie routet er nicht..
aLgE Geschrieben 23. März 2005 Autor Geschrieben 23. März 2005 der router routet nur die netze.. dahinter ist noch ein router, der das I-NET verfügbar macht
cane Geschrieben 23. März 2005 Geschrieben 23. März 2005 Stichwort Gateway. Das Problem hat nichts mit deinem Iptables-Script zu tun sondern Du mußt den Standardgateway höchstwarscheinlich korrekt setzen. 'route add default gw "IPdeinesGateway"'
aLgE Geschrieben 23. März 2005 Autor Geschrieben 23. März 2005 der default Gateway ist eingetragen, wenn ich die iptables nicht anwende, können alle PCs surfen...
cane Geschrieben 23. März 2005 Geschrieben 23. März 2005 Eine Idee: Im Moment lässt Du nur die Pakete mit der genannten MAC von innen zu - nicht aber die zugehörigen "Antworten" von draußen. Kannst Du das in den Logs nachvollziehen? mfg cane
aLgE Geschrieben 24. März 2005 Autor Geschrieben 24. März 2005 du meinst, iptables -A FORWARD -p tcp -m state --state ESTABLISHED ? wenn ja, das habe ich auch schon versucht...
cane Geschrieben 24. März 2005 Geschrieben 24. März 2005 iptables -A FORWARD -m mac --mac-source 00:11:22:33:44:55 -j ACCEPT Außerdem solltest Du diese Regel nur für das interne Interface definieren (-i eth0) da die reinkommenden Pakete eine andere Source-MAC haben... Prüfe um mit Connection Tracking zu arbeiten auch ob das entsprechende Modul geladen wurde (ip_conntrac glaube ich). Ich würde mir mal auf http://hatrry.homelinux.org ein Script generieren lassen und dann die Forward-Regeln in der Weise anpassen das von außen alles was ESTABLISHED und RELATED ist reingelassen wird, die NEW Pakete die rausgehen aber nur von bestimmten MACS kommen dürfen. Noch was: Ich hoffe NAT bzw. Masquerading wird nicht benötigt? Sonst funktionierts nämlich so nicht... mfg cane
aLgE Geschrieben 24. März 2005 Autor Geschrieben 24. März 2005 NAT und MAQUERADE wird benötigt.. Wieso gibt es da probleme? kann es sein, das es deswegen nicht funktionier? auf der Seite war ich auch schon, der generator hilft mir leider nicht weiter!
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde Dich hier an.
Jetzt anmelden