[gelöst] Squid + XP-Client + keine Internetverbindung

Hallo zusammen,

was ich möchte:

- mit internen Clients (xp oder linux) über einen Proxy (squid) ins Internet

Vorraussetzung:

- die IP des ISP ist eine feste IP daher Inteface extern feste IP + DNS
- egal welche IP im internen Netz für die Clients definiert ist, es sollen alle auf das Internet zugreifen können

was ich bisher gemacht hab:

für den Proxy, Suse 9.2 prof Minimalinstallation ohne grafische Oberfläche + squid-Paket (Squid 2.5 stable6)

Auszug squid.conf
##########################
http_port 3128
...
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow all
##########################

unter yast:

Konfiguration der 2 Netzwerkkarten
extern eth1
statische IP xxxx + Subnet + Nameserver 1 & 2 eingegeben
intern eth0
feste IP für spätere Clients eingetragen


mein PROBLEM
ich kann vom Squid-Proxy-Rechner keine Adresse anpingen
unknown host www.google.de
aber ich hab doch die 2 Nameserver von meinem ISP eingetragen warum kann er keine DNS Auflößung machen?
was mach ich falsch?

hat jemand eine Idee?

was muss ich generell noch aktivieren dass die Clientip's versteckt werden gegenüber dem Internet?

Wann nehm ich NAT und wann Masquerading? muss ich noch irgendwas forwarden?
danke für eure Hilfe

dmsman schrieb:

was muss ich generell noch aktivieren dass die Clientip's versteckt werden gegenüber dem Internet?

Wann nehm ich NAT und wann Masquerading? muss ich noch irgendwas forwarden?
danke für eure Hilfe

Zum Vergrößern anklicken....

Also ein ping nach EXTERN geht jetzt ! Ich hab vergessen für die externe Schnittstelle das GW einzutragen! Das Problem sitzt halt meistens vor dem Rechner ;-)

Aber die oberen Fragen bestehen immer noch! Wann muss ich was masquerieren? forwarden?
danke

Wenn du nur über den Proxy auf das Internet zugreifen willst, brauchst du weder Routing noch NAT. Da der squid als http, https und ftp Proxy arbeitet.
Sowie du aber einen weiteren Dienst im Internet von einem Client im lokalen Netz, zum Beispiel mail oder news, nutzen möchtest, musst du NAT verwenden. Da deine IP-Adressen aus dem lokalen Netz nicht geroutet werden.
Ich gehen mal davon aus, dass du auch andere Dienste nutzen willst.
Wenn dein Server auch Firewall werden soll, kannst du die Funktionen gleich dort einbinden.
Da du eine feste IP vom ISP hast, kannst du mit SNAT arbeiten. Du kannst aber auch Masquerading verwenden. Masquerading wurde eigentlich für dynamische IP-Adressen auf der Internetseite des Netzwerks entwickelt. Du kannst Masquerading aber auch bei fester IP Adresse verwenden.
Hier zwei Befehle, nach deren Eingabe sollten deine Clients das Internet nutzen können:
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -j MASQUERADE
Die erste Zeile aktiviert das Routing auf deinem Rechner. Die zweite Zeile aktiviert Masquerading

hi stka,

danke für die Antwort!

noch eine Frage mit deinen 2 Zeilen...mit ip_forward meinst du schon nur das Umsetzen von einer private IP auf eine public IP?
meine privaten IP's sind aber nicht von aussen sichtbar oder?

danke

du meinst nat nicht ip_forward ;-)

ip_forward ist das routing. Nat setzt alle privaten Adressen aus deinem Netz auf die eine IP vom Provider um. Dadurch sind alle IP-Adressen in deinem Netz geschützt. Es wir keine IP aus deinem Netz nach außen sichtbar.