Ipforwarding (как включить)

[Temka]

Вот понадобилось включить на машине с Suse 9.3 ipforwarding
1. вариант
echo 1 > /proc/sys/net/ipv4/ip_forward
результат cat /proc/sys/net/ipv4/ip_forward выдаёт как и положенно 1
хотел засунуть ето в /etc/boot.local, но после рестарта значени /proc/sys/net/ipv4/ip_forward меняется на 0
дальше разбираться не стал, поробовал 2 вариант
2. вариант
Yast-System-редактор /etc/sysconfig - Network - General - IP_Forward YES
в sysctl значение меняет на YES
ребут, при загрузке вижу, что Ipforwarding включается, но значение /proc/sys/net/ipv4/ip_forward остается равным 0.

Вопрос собственно следующий, какой ваиант правильный ?

[k0da]

Может стоит посмотреть в сторону SuSEFirewall2 ?

[Temka]

Может стоит посмотреть в сторону SuSEFirewall2 ?

У меня iptables, на др. дистрибутивах я сначала врубал форвардинг через первый вариант, а потом добавлял в iptables соотв. правила

[k0da]

В Сьюзи SuSEFirewall занимается этимми вещами.
Покопай его

[Temka]

В Сьюзи SuSEFirewall занимается этимми вещами.
Покопай его

чет не понравился он мне мне iptables больше нравится, роднее он както и понятнее
---------------

Добрался до дома, начал дальше разбираться...
в /etc/sysconfig/sysctl
IP_FORWARD="yes"
---------------
iptables
# Generated by iptables-save v1.3.1 on Mon Sep 19 20:21:51 2005
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [4:222]
-A POSTROUTING -s 10.0.0.10 -o ppp0 -j SNAT --to-source 212.*.*.*
COMMIT
# Completed on Mon Sep 19 20:21:51 2005
# Generated by iptables-save v1.3.1 on Mon Sep 19 20:21:51 2005
*filter
:INPUT ACCEPT [0:0]
-A INPUT -s 10.0.0.10 -j ACCEPT
:FORWARD ACCEPT [0:0]
-A FORWARD -s 10.0.0.10 -j ACCEPT
:OUTPUT ACCEPT [4:222]
COMMIT
# Completed on Mon Sep 19 20:21:51 2005
# Generated by iptables-save v1.3.1 on Mon Sep 19 20:21:51 2005
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [4:222]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed on Mon Sep 19 20:21:51 2005
--------------
и всё равно пока не сделаю echo 1 > /proc/sys/net/ipv4/ip_forward
не хочет форвардить, специально пускаю с локальной машины пинг на шлюз провайдера, и как только добавляю echo , то всё сразу проходит.
Ну что я делаю не правильно ?
PS хочу победить это без susefirewall

[Temka]

нашел SuseLinuxBible9

In this scenario, all of the machines are behind a netfilter firewall that not only protects
the machines, but also provides SNAT for outgoing connections. For SNAT to work, IP forwarding
must be enabled. To do this, enter a “1” into /proc/sys/net/ipv4/ip_forward.
bible:~ # echo 1 > /proc/sys/net/ipv4/ip_forward
This will immediately enable IP forwarding on your Linux machine. This is a volatile operation,
and once your machine has been rebooted, IP forwarding will be turned off by default.
To set IP forwarding on by default, edit the file /etc/sysconfig/sysctl and change
IP_FORWARD from no to yes and re-run SuSEconfig. While editing the sysctl file, make sure
that DISABLE_ECN is set to yes.
When IP forwarding has been enabled, you can insert the SNAT rule into the POSTROUTING
chain.

усё так и делаю

[Temka]

Усё перепробовал всё что можно )
создаю файл, пхаю туда
echo 1 > /proc/sys/net/ipv4/ip_forward
или
sysctl -w net.ipv4.ip_forward=1
ну и еще ченить, типа проверить стартанет мой скрипт или нет (mkdir /home/tmp/tmp)
ребут, каталог создается но форвардинг не пашет, запускаю скрипт руками ./test_fw и каталог создается и форвардинг работает.
я вот че еще думаю, у меня стоит vmware, сетка соответственно тоже на варе поднята, может ето из неё такие "гонки", хотя опять таки руками всё стартует нормально.
Свой скрипт засунул во 2,3,5 уровни rc, самым последним
я конечно знаю стопроцентное решение засунуть в крон с проверкой каждые 5 минут, если форвардинг не пашет, то врубить его, но его не выход ) вернее выход, но через зад

[k0da]

А то что мы имеем SuSEFirewall и пытаемся сделать не из него это как называется? (через что?)

[Temka]

А то что мы имеем SuSEFirewall и пытаемся сделать не из него это как называется? (через что?)

да не хочет он у меня виртуальные интерфейсы видеть
И iptables намного более понятен, чем SuseFirewall

[Temka]

ну вот как я и думал, всё это изза того, что не было "реальных" сетевух
сегодня поставил и сразу все заработало как надо, без всяких SuseFirewall'ов

[Linny]

А то что мы имеем SuSEFirewall и пытаемся сделать не из него это как называется? (через что?)

Не знаю...на изучение SuSEfirewall было угроблено часа 2, написан конфиг, а роутинг все равно не пахал... когда дело касается закрывания машины ото всего, что не разрешено напрямую - замечательный фаер, но с фильтрацией роутинговых пакетов работает из рук вон плохо
iptables настроить можно куда тоньше...

[Temka]

А то что мы имеем SuSEFirewall и пытаемся сделать не из него это как называется? (через что?)

Не знаю...на изучение SuSEfirewall было угроблено часа 2, написан конфиг, а роутинг все равно не пахал... когда дело касается закрывания машины ото всего, что не разрешено напрямую - замечательный фаер, но с фильтрацией роутинговых пакетов работает из рук вон плохо
iptables настроить можно куда тоньше...

в 10 форвардинг пашет сразу, без всяких танцев с бубном и сусефаера

[Loky]

Уважаемые, когда ж вы научитесь документацию читать? На сайте лежит замечательный хендбук для админа SLES9. Все подымается в течении 2-3 минут.
Если в кратце, то надо на внешнем интерфейсе включить форвард, а в фаерволе поставить галочку маскарадинга, после чего серая сетка лезет в инет.

А то что мы имеем SuSEFirewall и пытаемся сделать не из него это как называется? (через что?)

))))))))))))))))))
Голос разума

[Aserge]

Ну не знаю.. прбовал разобраться в скрипте, что генерит SuSEFirewall, пакость нечитабельная.. (хорошо YaSt есть) и кста, он (файервол этот) на iptables всё таки сидит или нет? Я к тому что iptables-save вообще лес полный.. начать с того, что всё по умолчанию ACCEPT, а потом достаточно много строк затыкания дырок.. .

[Linny]

Ну не знаю.. прбовал разобраться в скрипте, что генерит SuSEFirewall, пакость нечитабельная.. (хорошо YaSt есть) и кста, он (файервол этот) на iptables всё таки сидит или нет? Я к тому что iptables-save вообще лес полный.. начать с того, что всё по умолчанию ACCEPT, а потом достаточно много строк затыкания дырок.. .

Сусевый фаер сидит именно на iptables. Скрипт у него достаточно простой, только там комментариев много, оттого он выглядит очень большим. Но сами таблицы iptables все равно лучше настраиваются. А начать можно с того, что изменить всё ACCEPT на всё DROP, после чего разрешить некоторые вещи.
А чтобы занимало 2-3 минуты, пишется один раз скрипт, в котором перечислены базовые правила...и вуаля B)

Уважаемые, когда ж вы научитесь документацию читать? На сайте лежит замечательный хендбук для админа SLES9. Все подымается в течении 2-3 минут.
Если в кратце, то надо на внешнем интерфейсе включить форвард, а в фаерволе поставить галочку маскарадинга, после чего серая сетка лезет в инет.

Может, это не та админка была, но обычно админки в слесам похожи на пособие для идиотов, т.к. содержат информацию типа "поставьте галочку здесь и здесь, как показано на рисунке (это, видимо, для тех, кто читать не умеет) и всё у вас заработает" - а если я хочу заставить работать еще что-нибудь, то приходится опять же лезть, искать конфиги, читать многочисленные комментарии в них и править ручками. Очень напоминает учебники по юзанию винды... <_<

[Linny]

нашел SuseLinuxBible9

А где нашел, не подскажешь? Хотелось бы почитать...

[Temka]

нашел SuseLinuxBible9

А где нашел, не подскажешь? Хотелось бы почитать...

на kpnemo.ru