[Berlin-wireless] iptables Regeln

[Bastian]

Hallo,

für das Forwarding vom Internet von Node A über Node B zu Clients im LAN
brauchst du eigentlich keine iptables. Höchstens eine NAT-Regel, falls
Node A direkt mit public-IP im Internet sitzt.

iptables -t nat -A POSTROUTING --source <LAN-subnet> --out-interface
<inet-NIC> -j MASQUERADE

Um die richtigen Hin- und Rückrouten bekannt zu machen, müssen folgende
Hna4 definiert werden.
Node A:  0.0.0.0 0.0.0.0
Node B:  <LAN-subnet> <netmask>

Clients in LAN verwenden als Default-Gateway Node B. Node B erfährt die
Route ins Internet über OLSR-HNA von Node A. Node A kennt das LAN-Netz
über das OLSR-HNA von Node B.
Vor Anfragen aus dem Internet sind die Clients durch das NAT 'geschützt'.

IPv6 funktioniert genauso, nur eben ohne die NAT-rule. Sofern Clients im
LAN die richtige Absender-Adresse verwenden, sollte durch die passenden
Hna6 automatisch end-to-end connectivity bestehen.

Gruß
Bastian

On 09/14/2014 12:28 PM, MichaelN8 wrote:
> 
> Hallo zusammen,
> ich bastle grad mit olsrd ein wenig rum. Ich konnte in einem Testaufbau
> auch schon eine Verbindung zwischen 2 Nodes herstellen und auch anpingen.
> Nun will ich gerne mal mal "das Internet" von Node A für Node B
> freigeben - bin aber noch nicht so fit mit iptables.
> Hat einer von euch Plan, wie die Regel aussehen müsste (am Besten so,
> dass das Böse iNet nicht ohne weiteres ins LAN von Node B "telefonieren"
> kann?)
> 
> Hier mal ein kurzes Schema dazu:
> 
> LAN <-----> Node B <--------------------------> Node A ------------>
> Böses Internet
> 
> 
> 
> Schöne Grüße
> MichaelN8

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 473 bytes
Beschreibung: OpenPGP digital signature
URL         : <http://lists.berlin.freifunk.net/pipermail/berlin/attachments/20140914/67d7d1cb/attachment.pgp>