IP Forwarding (IP V4) / Bridging ?

Florian Lohoff flo at rfc822.org
Mon May 12 21:38:37 CEST 2008 

On Mon, May 12, 2008 at 08:35:56PM +0200, Stefan U. Hegner wrote:
> Moin,
> 
> bisher dachte ich, wenn ich eine Box habe, die in zwei Netzen hängt, und
> ich möchte, dass Kisten aus dem einen Netz Adressen in dem anderen Netz
> erreichen können, müsste ich einen Kernel haben, der Ethernet-bridging
> erlaubt und lediglich IP Forwarding anknipsen, entweder direkt über
> /proc/sys/net/ipv4/ip_forward oder über eine config-Datei, die das
> erledigt, z.B. /etc/sysctrl.conf.

Du hast ein verstaendnissproblem. Du kannst entweder Ethernet Bridging
machen d.h bridge-utils installieren und mit brctl eine bridge bauen und
entsprechend die physikalischen interface darin aufnehmen. Dann verhaelt
sich dein Rechner wie ein Switch.

Oder: Du machst routing d.h. IP Forwarding - Dafuer muessen die
interfaces unterschiedliche ip addressen haben und in deiner
routingtabelle entsprechende eintraege sein (ab 2.4er kernel default).
Dann musst du ip_forward anmachen wie du oben schon geschrieben hast
und auf den entsprechenden clients die kiste als "default" route
eintragen.

> Aber nun wollte ich mal iptables komplett ausknipsen (alle chains auf
> ACCEPT) und dann von Netz1 eine Box in Netz2 erreichen. - Aber da komme
> ich einfach nicht hin. Allenfalls die 2te IP von meiner Bridge in Netz2
> konnte ich anpingen.

Dann ist im routing was kaputt

Wenn der aufbau:

	A <----> B <----> C

ist - dann muss A eine default route auf B haben, B muss 2 routen fuer
die netze nach A und C haben - und C eine defaultroute auf B.

Dann testen ob B sowohl A und C erreichen kann - wenn dem so ist testen
ob A und C jeweils B (in ihrem subnetz erreichen koennen). Wenn das
alles so ist kann nur das forwarding in B kaputt sein.

> Bin ich mal wieder blind auf den Ohren oder warum klappt das nicht?

Verstaendnissproblem gepart mit unsystematischem debugging ;)

Flo
-- 
Florian Lohoff                  flo at rfc822.org             +49-171-2280134
	Those who would give up a little freedom to get a little 
          security shall soon have neither - Benjamin Franklin
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 189 bytes
Desc: Digital signature
URL: <http://lug-owl.de/pipermail/linux/attachments/20080512/c6d82c9a/attachment.sig>

More information about the Linux mailing list