[linux] Re: van het ene netwerk naar het andere

[Gijs Hillenius]

(allereerst allen hartelijk dank voor de tips..!)

>>>>> Hugo van der Kooij writes:

      > On Sun, 27 Nov 2005, Gijs Hillenius wrote:
    >> >>>>> Daniel C von Asmuth writes:
    >> 
    >> >> > Als je al je firewalls open hebt staan zou het dan moeten
    >> > >> werken. Daarna is het een kwestie van de gewenste firewall
    >> > >> regels instellen.

    >> Als ik 172.16.2.3 ping vanaf 10.0.0.5 dan "hoort" tcpdump (op
    >> de gateway) dat alleen op de bijbehorende interface
    >> (wlan0). Niet op eth0 (de interface naar 172etcetera), en ook
    >> niet op nas0.
    >> 
    >> Moet ik hieruit afleiden dat mijn (gw)firewall dit verkeer(d)
    >> tegenhoudt?

      > Als IP forwarding aan staat zal het waarschijnlijk sneuvelen
      > op een default policy. Je zult dus expliciet je verkeer moeten
      > toestaan. Voor meer details is een inzicht in je regels
      > noodzakelijk.

      > tcpdump vangt e.e.a. op voordat je filter hem wegwerkt.

Dat snap ik niet. Als dat zo is, waarom zie ik dan met tcpdump -i eth1
een icmp pakket niet en met tcpdump -i wlan0 wel?

Ik begrijp het nu zo: een ping-verzoek komt binnen op wlan0, dan
bekijkt de firewall het en die laat het niet door want het is niet
bestemd voor internet...

      > Maar ik mag aannemen dat je een firewall ook logging laat
      > genereren. En dan moet je het daar ook stuk zien gaan.

Ja.. dat zou ik ook wel eens willen weten. Maar als ik "jullie" volg,
dan moet ik in mijn firewall regels zoeken naar de oplossing.

Ik heb daar nu (onder meer) staan:

## Onbeperkt verkeer op interne interfaces toestaan
$IPTABLES --table filter -A INPUT -i eth0 -j ACCEPT
$IPTABLES --table filter -A OUTPUT -o eth0 -j ACCEPT
$IPTABLES --table filter -A INPUT -i wlan0 -j ACCEPT
$IPTABLES --table filter -A OUTPUT -o wlan0 -j ACCEPT

Dat zou intern verkeer toch toe moeten laten? 


Grt

Gijs