[fli4l] Internetzugang nur aus einem Subnet moeglich
Carsten Spieß
fli4l at carsten-spiess.de
Do Jan 31 16:12:59 CET 2013
Hallo Martin,
> mit folgender Konfiguration kommen nur Clients aus dem Netz IP_NET_1 ins
> Internet, der Rest nicht. Warum?
Weil iptables die Pakete nicht forwarded.
Schau mal ins syslog rein, da solltest Du sehen welche Regel die Pakete
verwirft.
> PF_FORWARD_N='6'
> PF_FORWARD_1='192.168.0.0/16 192.168.13.0/24 ACCEPT BIDIRECTIONAL'
> PF_FORWARD_2='192.168.0.0/16 192.168.14.0/24 ACCEPT BIDIRECTIONAL'
> PF_FORWARD_3='192.168.0.0/16 192.168.15.0/24 ACCEPT BIDIRECTIONAL'
> PF_FORWARD_4='192.168.0.0/16 192.168.16.0/24 ACCEPT BIDIRECTIONAL'
> PF_FORWARD_5='tmpl:samba DROP'
>
> PF_FORWARD_6='IP_NET_1 ACCEPT'
Hier fehlt (das hatte Hans auch schon geschrieben):
PF_FORWARD_7='192.168.13.0/24 ACCEPT'
PF_FORWARD_8='192.168.14.0/24 ACCEPT'
PF_FORWARD_9='192.168.15.0/24 ACCEPT'
> PF_POSTROUTING_N='5'
> PF_POSTROUTING_1='192.168.13.0/24 192.168.0.0/16 ACCEPT
> BIDIRECTIONAL'
> PF_POSTROUTING_2='192.168.14.0/24 192.168.0.0/16 ACCEPT
> BIDIRECTIONAL'
> PF_POSTROUTING_3='192.168.15.0/24 192.168.0.0/16 ACCEPT
> BIDIRECTIONAL'
> PF_POSTROUTING_4='192.168.16.0/24 192.168.0.0/16 ACCEPT
> BIDIRECTIONAL'
> PF_POSTROUTING_5='IP_NET_1 MASQUERADE' # masquerade traffic
> leaving the subnet ...
>
> Haette es auch mal mit
>
> PF_POSTROUTING_6='192.168.13.0/24 MASQUERADE'
> PF_POSTROUTING_7='192.168.14.0/24 MASQUERADE'
> PF_POSTROUTING_8='192.168.15.0/24 MASQUERADE'
> versucht, was aber offensichtlich auch nichts ändert. :-(
Das brauchts Du trotzdem wenn die Forward-Regeln stimmen.
BTW: warum hast Du eigentlich die 192.168.0.0/16 Regeln,
das überlappt doch mit den 192.168.x.0/24 Regeln?
Gruß
Carsten
Mehr Informationen über die Mailingliste Fli4L