iptabels in eine richtung verbieten

Dieses Thema im Forum "Firewalls" wurde erstellt von mario9000, 06.10.2010.

  1. #1 mario9000, 06.10.2010
    mario9000

    mario9000 Mitglied

    Dabei seit:
    24.06.2010
    Beiträge:
    33
    Zustimmungen:
    0
    Ich möchte das von 10.10.10.0 auf alles zugegriffen werden darf aber nicht andersherum.

    dies klappt aber nicht mit. :think:

    iptables -A FORWARD -s ! 10.10.10.0/24 -d 10.10.10.0/24 -j DROP
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 bitmuncher, 06.10.2010
    bitmuncher

    bitmuncher Der Stillgelegte

    Dabei seit:
    08.05.2007
    Beiträge:
    3.171
    Zustimmungen:
    0
    Das '-A' weist darauf hin, dass du bereits andere Regeln definiert hast, an die diese Regel angefügt wird. Bedenke also z.B. auch, dass iptables-Regeln immer sequentiell abgearbeitet werden, ggf. also eine davor stehende Regel bereits greift. Und sonst erkläre bitte dein Problem etwas genauer. Geht es hier um einen Router, oder um einen Client?
     
  4. #3 mario9000, 07.10.2010
    mario9000

    mario9000 Mitglied

    Dabei seit:
    24.06.2010
    Beiträge:
    33
    Zustimmungen:
    0
    Ich nutze den PC als router.

    Ich habe im 10.10.10.0 Netz verschiedene Switche und Server die nur über dieses Netz konfiguriert werden können.
    Über VPN bekommt man auch eine IP aus dem Netz. Jetzt möchte ich das man nur auf die Server zugreifen kann wenn man in diesem Netz ist. Das klappt auch nur kann man dann nicht mehr auf andere Netze zugreifen.

    Code:
    echo "Lade Das Systems . . ."
    
        # Externe Lan-Karte -> nur in der VM
            #ifconfig eth1 up
            #ifconfig eth1 192.168.204.101 netmask 255.255.255.0
    
        # Interne Lan-Karte
            ifconfig eth0 up
            modprobe 8021q
    
        #OSZ LAN
            vconfig add eth0 5
            ifconfig eth0.5 up
            ifconfig eth0.5 192.168.100.208 netmask 255.255.255.0
    
        #Verwaltungs LAN
            vconfig add eth0 10
            ifconfig eth0.10 up
            ifconfig eth0.10 10.1.1.250 netmask 255.255.255.0
    
        #Secure LAN
            vconfig add eth0 100
            ifconfig eth0.100 up
            ifconfig eth0.100 10.10.10.254 netmask 255.255.255.0    
            iptables -A FORWARD -s ! 10.10.10.0/24 -d 10.10.10.0/24 -j DROP
    
        #User LAN
            vconfig add eth0 200
            ifconfig eth0.200 up
            ifconfig eth0.200 10.31.0.1 netmask 255.255.0.0    
    
        #PPPoE Server
            ifconfig eth1 up
            echo "PPPoE Server Startet"
            pppoe-server -T 60 -I eth1 -C PPPoE -S PPPoE
    
        #NAT
            iptables -t nat -A PREROUTING -i eth0.5 -p tcp --dport 80 -j DNAT --to-destination 10.1.1.1:80
    
            #main.server.osz
            iptables -t nat -A PREROUTING -i eth0.5 -p tcp --dport 1022 -j DNAT --to-destination 10.1.1.1:22
            iptables -t nat -A PREROUTING -i eth0.5 -p tcp --dport 1080 -j DNAT --to-destination 10.1.1.1:80
    
            #serv01.server.osz
            iptables -t nat -A PREROUTING -i eth0.5 -p tcp --dport 1322 -j DNAT --to-destination 10.1.1.13:22
            iptables -t nat -A PREROUTING -i eth0.5 -p tcp --dport 1380 -j DNAT --to-destination 10.1.1.13:80
    
    
        #Routing
            iptables -t nat -A OUTPUT -d ! 10.0.0.0/8 -p tcp --dport 80 -j DNAT --to-destination 192.168.100.3:8080
            iptables -t nat -A OUTPUT -d ! 10.0.0.0/8 -p tcp --dport 443 -j DNAT --to-destination 192.168.100.3:8080
            route add -net 0.0.0.0 netmask 0.0.0.0 gw 192.168.100.3
    
            #route add -net 0.0.0.0 netmask 0.0.0.0 gw 192.168.204.2
            #iptables -t nat -A POSTROUTING -j SNAT --to-source 192.168.204.101
    ach und wenn wir gleich dabei sind... ich muss über einen Proxy und die Umleitung gleich nach "#Routing" klappt auch nicht >> Proxy antwortet Access Denied... (laut dem Hersteller ist aber alles io beim Proxy)
     
  5. #4 saeckereier, 08.10.2010
    saeckereier

    saeckereier Graue Eminenz

    Dabei seit:
    08.05.2005
    Beiträge:
    1.920
    Zustimmungen:
    0
    Ort:
    Im schönen Norden
    Es ist halt nicht so einfach, denn TCP-Verbindungen gehen *immer* in beide Richtungen. Das Protokoll basiert nämlich darauf, dass der Angerufene alles bestätigt. Wenn du das verbietest, kommt keine Verbindung zu stande.
     
  6. #5 saeckereier, 08.10.2010
    saeckereier

    saeckereier Graue Eminenz

    Dabei seit:
    08.05.2005
    Beiträge:
    1.920
    Zustimmungen:
    0
    Ort:
    Im schönen Norden
    Nebenbei ist es immer sehr hilfreich, wenn man eine zusätzliche Regel vor DROP einbaut, nämlich ein Logging und dann einfach mal versucht, ob es wie gewünscht funktioniert. Wenn nicht kontrolliert man das Log, welche Pakete verworfen wurden.
     
  7. #6 mario9000, 08.10.2010
    mario9000

    mario9000 Mitglied

    Dabei seit:
    24.06.2010
    Beiträge:
    33
    Zustimmungen:
    0
    ich glaub die einfaches Variante ist die VPN auf ein anderes Netz zu legen...

    iptables -A FORWARD -s 10.10.10.0/24 -d!10.10.11.0/24 -j DROP
    iptables -A FORWARD -s!10.10.11.0/24 -d 10.10.10.0/24 -j DROP
     
  8. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
Thema:

iptabels in eine richtung verbieten

Die Seite wird geladen...

iptabels in eine richtung verbieten - Ähnliche Themen

  1. [2Probs] SSH publickey und iptabels

    [2Probs] SSH publickey und iptabels: Hallo, ich habe seit ein paar Tagen einen Hetzner RootServer BS ist Suse 10.1. Ich bin auch soweit mit allem zufrieden . Meine 2 kleinen...
  2. Wie kann ich x Zeichen hinter einem bestimmten Wort ausgeben ?

    Wie kann ich x Zeichen hinter einem bestimmten Wort ausgeben ?: In mehreren Dateien ist immer mehrfach ein bestimmtes Wort enthalten, gefolgt von einem "=". Ich möchte mir die dahinter folgenden 10 Zeichen...
  3. Keine Benachrichtigungen im Vollbild Modus

    Keine Benachrichtigungen im Vollbild Modus: Arch Linux Plasma 5.8 Weiss einer ob das gehen sollte, bzw kann mal einer testen ob es bei ihm geht, gerne auch mit anderen kde/plasma versionen....
  4. Kontextmenü mit einem Skript verbinden

    Kontextmenü mit einem Skript verbinden: Abend, wenn ich z. B. eine simple Umwandlung eines Bildformates in ein anderes über das KDE-Kontextmenü (Servicemenü nennt es sich im KDE oder...
  5. Alle Dateien eines Verzeichnisses mit einer anderen Datei vergleichen

    Alle Dateien eines Verzeichnisses mit einer anderen Datei vergleichen: Hallo, ich habe ein Verzeichnis, darin enthalten sind mehrere Dateien. Nun möchte ich alle Dateien (Parameter $1) gegen eine konstante Datei...