WWW-SERVER unter Linux
Dietmar Goldbeck
dietmar.goldbeck at acm.org
Mon Aug 2 12:01:02 CEST 1999
On Sat, Jul 31, 1999 at 12:04:45AM +0200, Andre Landwehr wrote:
> On Fri, Jul 30, 1999 at 07:10:19PM +0200, Jan-Benedict Glaw wrote:
> > On Fri, Jul 30, 1999 at 06:46:45PM +0200, Heiner Irrgang wrote:
> > > muß ich einstellen???)? Isdn-Karte habe ich bereits installiert und läuft
> > > gut mit dem Testzugang von Suse.
> >
> > Was für einen Kernel hast Du? SuSE 6.1 ist glaub' ich schon auf den 2.2.x
> > Versionen, oder? Ich gah' einfach mal davon aus...
> ist er.
>
> > 1. Der Kernel muß Masquerading einkompiliert haben.
> ist standard bei susi
>
> > 2. echo "1" > /proc/sys/net/ipv4/ip_forwarding
> ist auch schon drin (machen die in den Startscripten)
>
> > 3. Masquerading... Wie war das noch gleich? Also, Du brauchst dafür in jedem
> > Fall ipchains. ...und ab da hilft Dir dann das Masquerading-Howto weiter.
> > Vorgehenswiese ganz knapp:
> > 1. ACCEPT policy für die input chain
> > 2. REJECT policy für die forwarding chain
> > 3. ACCEPT policy für die output chain
> > 4. ACCEPT with masquerading für source 127.0.0.1, 192.168.0.0/16 etc
> > für die forwarding chain
> Die ersten 3 davon kannst du vergessen, sind unnötig für reines Masquerading.
Das ist aus security Sicht nicht korrekt, die sind noetig damit die
Kiste nicht von aussen als masquerading relay missbraucht werden
kann. Ausserdem braucht man noch eine Regel, die Pakete mit source
192.168.0.0/16 auf dem externen Interface abweist, oder eine
Distribution, die den richtigen Eintrag unter /proc/sys/.... macht.
> Du brauchst eigentlich nur ein rule, die als Source ( -S ) dein lokales Netz
> und als Destination ( -D ) den Rest der Welt definiert.
>
> > Die genaue Syntax für ipchains weiß ich nicht auswendig, dafür gibt's das
> > HowTo (die man page ist grausam...).
> richtig.
>
>
> Gruß
> Andre
>
--
Alles Gute / best wishes
Dietmar Goldbeck E-Mail: dietmar.goldbeck at acm.org
Reporter (to Mahatma Gandhi): Mr Gandhi, what do you think of Western
Civilization? Gandhi: I think it would be a good idea.
More information about the Linux
mailing list