iptabels in eine richtung verbieten

mario9000

mario9000

Mitglied
Ich möchte das von 10.10.10.0 auf alles zugegriffen werden darf aber nicht andersherum.

dies klappt aber nicht mit. :think:

iptables -A FORWARD -s ! 10.10.10.0/24 -d 10.10.10.0/24 -j DROP
 
Das '-A' weist darauf hin, dass du bereits andere Regeln definiert hast, an die diese Regel angefügt wird. Bedenke also z.B. auch, dass iptables-Regeln immer sequentiell abgearbeitet werden, ggf. also eine davor stehende Regel bereits greift. Und sonst erkläre bitte dein Problem etwas genauer. Geht es hier um einen Router, oder um einen Client?
 
Ich nutze den PC als router.

Ich habe im 10.10.10.0 Netz verschiedene Switche und Server die nur über dieses Netz konfiguriert werden können.
Über VPN bekommt man auch eine IP aus dem Netz. Jetzt möchte ich das man nur auf die Server zugreifen kann wenn man in diesem Netz ist. Das klappt auch nur kann man dann nicht mehr auf andere Netze zugreifen.

Code:
echo "Lade Das Systems . . ."

    # Externe Lan-Karte -> nur in der VM
        #ifconfig eth1 up
        #ifconfig eth1 192.168.204.101 netmask 255.255.255.0

    # Interne Lan-Karte
        ifconfig eth0 up
        modprobe 8021q

    #OSZ LAN
        vconfig add eth0 5
        ifconfig eth0.5 up
        ifconfig eth0.5 192.168.100.208 netmask 255.255.255.0

    #Verwaltungs LAN
        vconfig add eth0 10
        ifconfig eth0.10 up
        ifconfig eth0.10 10.1.1.250 netmask 255.255.255.0

    #Secure LAN
        vconfig add eth0 100
        ifconfig eth0.100 up
        ifconfig eth0.100 10.10.10.254 netmask 255.255.255.0    
        iptables -A FORWARD -s ! 10.10.10.0/24 -d 10.10.10.0/24 -j DROP

    #User LAN
        vconfig add eth0 200
        ifconfig eth0.200 up
        ifconfig eth0.200 10.31.0.1 netmask 255.255.0.0    

    #PPPoE Server
        ifconfig eth1 up
        echo "PPPoE Server Startet"
        pppoe-server -T 60 -I eth1 -C PPPoE -S PPPoE

    #NAT
        iptables -t nat -A PREROUTING -i eth0.5 -p tcp --dport 80 -j DNAT --to-destination 10.1.1.1:80

        #main.server.osz
        iptables -t nat -A PREROUTING -i eth0.5 -p tcp --dport 1022 -j DNAT --to-destination 10.1.1.1:22
        iptables -t nat -A PREROUTING -i eth0.5 -p tcp --dport 1080 -j DNAT --to-destination 10.1.1.1:80

        #serv01.server.osz
        iptables -t nat -A PREROUTING -i eth0.5 -p tcp --dport 1322 -j DNAT --to-destination 10.1.1.13:22
        iptables -t nat -A PREROUTING -i eth0.5 -p tcp --dport 1380 -j DNAT --to-destination 10.1.1.13:80


    #Routing
        iptables -t nat -A OUTPUT -d ! 10.0.0.0/8 -p tcp --dport 80 -j DNAT --to-destination 192.168.100.3:8080
        iptables -t nat -A OUTPUT -d ! 10.0.0.0/8 -p tcp --dport 443 -j DNAT --to-destination 192.168.100.3:8080
        route add -net 0.0.0.0 netmask 0.0.0.0 gw 192.168.100.3

        #route add -net 0.0.0.0 netmask 0.0.0.0 gw 192.168.204.2
        #iptables -t nat -A POSTROUTING -j SNAT --to-source 192.168.204.101
ach und wenn wir gleich dabei sind... ich muss über einen Proxy und die Umleitung gleich nach "#Routing" klappt auch nicht >> Proxy antwortet Access Denied... (laut dem Hersteller ist aber alles io beim Proxy)
 
Es ist halt nicht so einfach, denn TCP-Verbindungen gehen *immer* in beide Richtungen. Das Protokoll basiert nämlich darauf, dass der Angerufene alles bestätigt. Wenn du das verbietest, kommt keine Verbindung zu stande.
 
Nebenbei ist es immer sehr hilfreich, wenn man eine zusätzliche Regel vor DROP einbaut, nämlich ein Logging und dann einfach mal versucht, ob es wie gewünscht funktioniert. Wenn nicht kontrolliert man das Log, welche Pakete verworfen wurden.
 
ich glaub die einfaches Variante ist die VPN auf ein anderes Netz zu legen...

iptables -A FORWARD -s 10.10.10.0/24 -d!10.10.11.0/24 -j DROP
iptables -A FORWARD -s!10.10.11.0/24 -d 10.10.10.0/24 -j DROP
 

Ähnliche Themen

Port Forwarding mit iptables

ip6tables Problem

Script pausieren bis Bedingung erfüllt ist

iptables verständniss frage, xrdp nicht erreichbar.

iptables und whitelist

Zurück
Oben