Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

OS Linux

IPchains & IP masq

Anoniem
Venzent
12 antwoorden
  • Ben niet echt expert en ben nu bezig met het opzetten van firewall, routing. Heb al een aantal HOWto's gelezen maar een aantal zaken zijn mij nog onduidelijk:

    Wat is nu (in Nederlands) IP chains?
    Wat is de relatie tussen IPchains en IP masq, gaan die twee hand in hand? de een kan niet zonder de ander?

    Ik raak een beetje de weg kwijt door alle bomen. Ik wil "gewoon" kunnen internetten van een windows pc over mijn linux bak en daarbij toch wel veilig zitten. Tevens wil ik wat spelletjes (peer-to-peer) spelletjes kunnen spelen dus enkele poorten moeten opengezet kunnen worden.

    Kan iemand mij wat uitleg geven of een echte newbie howto (die van linuxnewbie.org heb ik al gezien), ik begin me aardig dom te voelen terwijl ik de rest van mijn netwerk nu toch al aardig op poten heb.

    Bedankt!
  • Ik zal het eens proberen:

    IPChains is de standaard tool om je firewall te configureren voor Linux-kernels uit de 2.2.x serie. De linux kernel is het hart van het besturingssysteem en IPchains wordt nu eenmaal voor deze specifieke kernel-versie gebruikt. Dat is nu eenmaal zo.

    Een Linux-firewall kan een heleboel dingen. En firewall is traditioneel bedoelt om data-pakketjes die over het internet verstuurd wordt tegen te houden. Dus als jij niet wilt dat gebruiker (X) jouw IP (Y) scant (dat wil zeggen informatie over jouw pc opvraagt om eventueel beveiligingslekken uit te buiten) dan kun jij dat instellen bij de firewall. De linux firewall kan echter ook pakketjes routeren, d.w.z. doorsturen naar een andere pc.

    De linux firewall kun je dus naar eigen smaak configureren. De linux firewall bestaat hoofdzakelijk uit 3 Rules(die term gebruiken we nu eenmaal): INPUT, OUTPUT, FORWARD. Input wil zeggen, al het internetverkeer dat binnenkomt, OUTPUT wil zeggen al het verkeer wat naar buiten gaat en FORWARD wil zeggen dat je pakketjes kunt doorsturen van de een naar de andere computer. Nu is de computer die bij jouw aan het internet verbonden is de enige die oorspronkelijk kan internetten. Omdat we met verschillende "Classes" (soorten) IP-adressen werken treed er een kleine complicatie op: Je kunt niet zomaar jouw netwerk aan het internet koppelen. Jouw provider geeft jouw een IP-adres, wat hij mag uitgeven en die zorgt ervoor dat je herkent wordt. Jouw netwerk wordt niet herkent op het internet dus dat is een probleem.

    Nu is daar een slimme optie voor gemaakt en die heet MASQUARADING. De term NAT (Network adress Translation) wordt ook wel eens gebruikt. Dit is een techniek die de Linux firewall een stukje intilligentie geeft zodat hij weet, dat als jouw locale netwerkcomputer een request geeft voor iets wat buiten zijn netwerk bevindt (internet) de firewall bevind, hij jouw die pagina toch weet te geven door het IP te gebruiken wat jouw internetcomputer gebruikt.

    Je snapt wel dat dit alleen wat software-aanpassingen vergt (Lees: dit moet geconfigureerd worden) en dan zul je toch wat HOWTO's moeten lezen. Daar ontkom je niet aan.

    Misschien dat er een paar kleine onjuistheden in mijn verhaal zitten (het is al laat) maar ik hoop dat dit een beetje begrijpbaar voor je is.

    GreetZzz
  • Is een duidelijk verhaal. Wat mij nu ook duidelijk is dat er aardig wat spraakverwarring is ontstaan bij:
    NAT = Masquerading
    IPCHains = kernel 2.2.x == IPChains = kernel 2.4.x

    Geloof dat ik nu de strekking goed te pakken heb.

    thnx
  • naar mijn mening is IPchains verouderd en doe je er beter aan om iptables in de kernel te compileren mits het de 2.4 kernel is. iptables is immers onderhand de standaard
  • ipchains is inderdaad verouderd, maar je komt het nog vaak tegen omdat daarbij gebruik gemaakt kon worden van de loose udp patch voor het met meerdere clients in een netwerk een peer to peer netwerk spel spelen.

    Wil je met 1 pc in je netwerk een spel spelen dan is het helemaal geen probleem en je hoeft ook geen poorten open te zetten. Het mooie van de IPTABLES firewall is dat er een aantal krachtige commando's inzitten. Zo kun je het zo instellen dat een verbinding van buitenaf alleen mag worden toegestaan wanneer deze gerelateerd is aan een verbinding van buitenaf.

    Wanneer iemand bijvoorbeeld een portscan van buitenaf op je pc doet zullen alle poorten gesloten zijn omdat dit allemaal nieuwe verbindingen zijn.

    Ik gebruik ook iptables en kan gewoon allerlei online games spelen en de firewall staat van buitenaf helemaal dicht.

    Voor meer uitleg over iptables:

    http://forum.computertotaal.nl/phpBB2/viewtopic.php?t=63821&highlight=
    http://www.linuxguruz.org/iptables/
    http://people.unix-fu.org/andreasson/iptables-tutorial/iptables-tutorial.html
  • Ik gebruik inmiddels IPtables en heb ook een script in elkaar geknutselt die de juiste settings voor Age Of Conquerors gaat zetten voor mij. Echter mijn script werkt niet en ik vraag mij nu af of het überhaupt wel met een script kan.

    Mijn script ziet er als volgt uit:

    #!/bin/sh
    iptables=/usr/sbin/iptables
    extif=ippp0
    intif=eth0
    portfwip=10.1.1.2

    $iptables -t nat -A PREROUTING -p tcp –dport 2300:2400 -i $extif -j DNAT –to $portfwip

    etc,etc

    dit script geeft fouten als :no such file or directory. Als ik via de commandline intype /usr/sbin/iptables -t nat -A PREROUTING en de rest……. dan krijg ik de foutmelding niet.
    Ik heb al gezocht met wat debug informatie in mijn script (optie -v en -x) maar daar zag alles er goed uit.

    Heeft het iets te maken met een soort shell ofietsdergellijks?
    Oja was ingelogd als root.
  • Waarschijnlijk ergens een verwijzing probleem of iets dergelijks.
    Als je het hele script even post kijk ik wel even. Wat je ook kunt proberen om door je script heen een paar regels te zeten :

    echo "input chain"
    ..
    ..
    ..
    echo "forward chain"

    etc je kunt op die manier kijken waar ongeveer de foutmelding gegeven wordt.
  • Hier is het totale script:

    #!/bin/sh echo -e " Loading aoe2fw.. "
    IPTABLES=/usr/sbin/iptables
    # Make sure this is the path to your iptables
    # (find it with 'whereis iptables' at your shell)

    EXTIF="ippp0"
    # The external interface, the interface that's connected to the Internet

    INTIF="eth0"
    # The internal interface, an ethernet card connected to your LAN hub/switch

    echo " External Interface: $EXTIF" echo " Internal Interface: $INTIF"

    PORTFWIP=192.168.0.3
    # IP address of the machine you're going to play the game on.

    echo " Incoming Directplay/MSN Gaming Zone packets will be forwarded to $PORTFWIP"


    # All the neat stuff
    $IPTABLES -t nat -A PREROUTING -p tcp –dport 2300:2400 -i $EXTIF -j DNAT –to $PORTFWIP
    $IPTABLES -t nat -A PREROUTING -p udp –dport 2300:2400 -i $EXTIF -j DNAT –to $PORTFWIP
    $IPTABLES -t nat -A PREROUTING -p tcp –dport 28800:29000 -i $EXTIF -j DNAT –to $PORTFWIP
    $IPTABLES -t nat -A PREROUTING -p tcp –dport 47624 -i $EXTIF -j DNAT –to $PORTFWIP
    $IPTABLES -t nat -A PREROUTING -p udp –dport 6073 -i $EXTIF -j DNAT –to $PORTFWIP
    $IPTABLES -A FORWARD -p tcp -d $PORTFWIP –dport 2300:2400 -j ACCEPT
    $IPTABLES -A FORWARD -p udp -d $PORTFWIP –dport 2300:2400 -j ACCEPT
    $IPTABLES -A FORWARD -p tcp -d $PORTFWIP –dport 28800:29000 -j ACCEPT
    $IPTABLES -A FORWARD -p tcp -d $PORTFWIP –dport 47624 -j ACCEPT
    $IPTABLES -A FORWARD -p udp -d $PORTFWIP –dport 6073 -j ACCEPT


    Vreemd dat de losse commando's het wel doen:(
    Kun je trouwens zo'n script dat de rules aanpast wel gewoon on demand draaien of moet zoiets in het opstart script van de firewall initialisatie?

    Zoek trouwens ook een script die de gehele firewall helemaal openzet.


    Grtzzz,
    Jan
  • [quote:bbf7b06f97]echo " External Interface: $EXTIF" echo " Internal Interface: $INTIF"[/quote:bbf7b06f97]

    Als dit 1 regel is zou ik er twee regels van maken waarbij dus iedere regel begint met echo.

    Verder zie ik niks verkeerds behalve ippp0, klopt dit ? Het kan namelijk ook ppp0 zijn. Controleer dit met ifconfig.

    Voor het script om alles open te zetten moet je even naar de bovenste link kijken die ik gegeven heb. Hierin heb ik een start stop script staan.
  • Voor een heleboel nederlandstalige info: http://www.nedlinux.nl/~bart/index.php?page=3
  • [quote:825d13f6ba="janjansen"]Hier is het totale script:

    #!/bin/sh echo -e " Loading aoe2fw.. "
    IPTABLES=/usr/sbin/iptables
    # Make sure this is the path to your iptables
    # (find it with 'whereis iptables' at your shell)

    EXTIF="ippp0"
    # The external interface, the interface that's connected to the Internet

    INTIF="eth0"
    # The internal interface, an ethernet card connected to your LAN hub/switch

    echo " External Interface: $EXTIF" echo " Internal Interface: $INTIF"

    PORTFWIP=192.168.0.3
    # IP address of the machine you're going to play the game on.

    echo " Incoming Directplay/MSN Gaming Zone packets will be forwarded to $PORTFWIP"


    # All the neat stuff
    $IPTABLES -t nat -A PREROUTING -p tcp –dport 2300:2400 -i $EXTIF -j DNAT –to $PORTFWIP
    $IPTABLES -t nat -A PREROUTING -p udp –dport 2300:2400 -i $EXTIF -j DNAT –to $PORTFWIP
    $IPTABLES -t nat -A PREROUTING -p tcp –dport 28800:29000 -i $EXTIF -j DNAT –to $PORTFWIP
    $IPTABLES -t nat -A PREROUTING -p tcp –dport 47624 -i $EXTIF -j DNAT –to $PORTFWIP
    $IPTABLES -t nat -A PREROUTING -p udp –dport 6073 -i $EXTIF -j DNAT –to $PORTFWIP
    $IPTABLES -A FORWARD -p tcp -d $PORTFWIP –dport 2300:2400 -j ACCEPT
    $IPTABLES -A FORWARD -p udp -d $PORTFWIP –dport 2300:2400 -j ACCEPT
    $IPTABLES -A FORWARD -p tcp -d $PORTFWIP –dport 28800:29000 -j ACCEPT
    $IPTABLES -A FORWARD -p tcp -d $PORTFWIP –dport 47624 -j ACCEPT
    $IPTABLES -A FORWARD -p udp -d $PORTFWIP –dport 6073 -j ACCEPT


    Vreemd dat de losse commando's het wel doen:(
    Kun je trouwens zo'n script dat de rules aanpast wel gewoon on demand draaien of moet zoiets in het opstart script van de firewall initialisatie?

    Zoek trouwens ook een script die de gehele firewall helemaal openzet.


    Grtzzz,
    Jan[/quote:825d13f6ba]

    Mmmmm, lekker makkelijk dat Linux als je gewoon een spelletje wil spelen over internet :wink:
  • Voor een script dat alles open zet:
    [code:1:0d51db8abf]
    $IPTABLES -A INPUT ACCEPT
    $IPTABLES -A OUTPUT ACCEPT
    $IPTABLES -A FORWARD ACCEPT

    [/code:1:0d51db8abf]

    Zo simpel is het om een spelletje te doen onder Linux :wink:

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.