iptables routing

Dieses Thema im Forum "Internet, lokale Netzwerke und Wireless Lan" wurde erstellt von aticio, 29.01.2004.

  1. aticio

    aticio Grünschnabel

    Dabei seit:
    29.01.2004
    Beiträge:
    1
    Zustimmungen:
    0
    Hallo an alle! (bin neu hier)

    Hab einen debian Rechner der als router fungiert (192.168.0.1)= Standardgateway.
    Nun muss ich alle Anfragen welche intern auf eine best. IP Adresse kommen auf einen anderen VPN Router (cisco, intern 192.168.0.3)
    umrouten.
    Hab in mein Firewallscript vom debian Router folgendes eingetragen:

    $IPTABLES -A FORWARD -i $INTIF -o $INTIF -d 10.1.0.0/255.255.255.0 -p tcp -j ACCEPT

    $INTIF ist als 192.168.0.1 definiert.
    Unter -d ist die Destinations IP Adresse eingetragen

    Frage: wo und wie trage ich nun ein, dass er diese Pakete auf die IP Adresse 192.168.0.3 weiterleitet?

    Danke für jegliche Hilfe!
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. saiki

    saiki Bratwurstgriller

    Dabei seit:
    18.03.2003
    Beiträge:
    934
    Zustimmungen:
    0
    Ort:
    Sachsen/ Meerane
    Ich hätte auch mal eine generelle Frage. Ich hab aber nicht viel Ahnung von iptables.

    Wenn ich iptables so einstelle, das es Anfragen die von außen kommen abweist und ich dann eine regel mache, das er zB Port 10 durchläßt funktioniert das dann? oder ist eine regel dann "dominant"?
     
  4. #3 HangLoose, 29.01.2004
    HangLoose

    HangLoose kleiner Bruder von ruth

    Dabei seit:
    07.11.2003
    Beiträge:
    319
    Zustimmungen:
    0
    Ort:
    HH
    moin

    @aticio

    kann es sein, das dir iptables bei dieser regel ne fehlermeldung um die ohren haut?

    $IPTABLES -A FORWARD -i $INTIF -o $INTIF -d 10.1.0.0/255.255.255.0 -p tcp -j ACCEPT

    -i oder -o erwartet ein interface(eth0...) und keine ip. zu deinem prob, hoffe ich habe dich richtig verstanden.

    iptables -t nat -A PREROUTING -i eth0 -d 10.1.0.0/255.255.255.0 -p tcp -j DNAT --to-destination 192.168.0.3

    das ist die *routing-regel*, jetzt brauchste noch ne *filter-regel*

    iptables -A FORWARD -i eth0 -d 10.1.0.0/255.255.255.0 -p tcp -j ACCEPT

    wobei ich mir jetzt nicht ganz sicher bin, das die pakete auch wieder über das innere interface rausgeschickt werden, denn wenn ich dich richtig verstanden habe, steht der cisco router ja auch im lan. hatte mit so einem fall noch nicht zu tun. deshalb habe ich das externe interface erstmal weggelassen. achso, weil wir grade bei sind, eth0 musste eventuell noch tauschen, je nachdem was deine interne karte ist.

    @saiki

    wenn du mittels default chain dropst/rejekt'est und dann ne regel aufstellst, das port 10 durchgelassen werden soll, dann dürfen die pakete auch passieren. grund => die default chain *regelt* die pakete für die keine regel zutrifft und steht am ende des script's. allgemein ist es so, das das script von oben nach unten abgearbeitet wird, die richtige position der regeln ist also schon wichtig

    iptables -A input --dport 10 ..... -j DROP
    iptables -A input --dport 10 .... -j ACCEPT

    das paket dürfte nicht passieren.


    Gruß HL
     
  5. saiki

    saiki Bratwurstgriller

    Dabei seit:
    18.03.2003
    Beiträge:
    934
    Zustimmungen:
    0
    Ort:
    Sachsen/ Meerane
    Oh, thx, so langsam steig ich dahinter :)
     
  6. saiki

    saiki Bratwurstgriller

    Dabei seit:
    18.03.2003
    Beiträge:
    934
    Zustimmungen:
    0
    Ort:
    Sachsen/ Meerane
    Wie müsste dann eine Regel aussehen, in der erstmal alle ports von außen abgewießen werden?

    Extern: ippp0
    Intern: eth0

    Und in welcher reinfolge muss ich das eingeben? ist die aktuellste eingabe auch automatisch die oberste?
     
  7. #6 HangLoose, 30.01.2004
    HangLoose

    HangLoose kleiner Bruder von ruth

    Dabei seit:
    07.11.2003
    Beiträge:
    319
    Zustimmungen:
    0
    Ort:
    HH
    hi saiki

    das ist nicht mit einer regel getan ;)

    # ausgehende Pakete erlauben
    #-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

    $iptables -A OUTPUT -o $ext -m state --state NEW,ESTABLISHED, RELATED -j ACCEPT
    $iptables -A FORWARD -i $int -o $ext -m state --state NEW,ESTABLISHED, RELATED -j ACCEPT

    #--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
    # Rückkanal: eingehende Paket zu einer bestehenden Verbindung
    #--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

    $iptables -A INPUT -i $ext -m state --state ESTABLISHED, RELATED -j ACCEPT
    $iptables -A INPUT -i $ext -m state --state NEW, INVALID -j DROP

    $iptables -A FORWARD -i $ext -o $int -m state --state ESTABLISHED, RELATED -j ACCEPT
    $iptables -A FORWARD -i $ext -o $int -m state --state NEW, INVALID -j DROP

    # Ausputzer: Rest sperren, loggen
    #-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

    $iptables -A INPUT -j DROP
    $iptables -A FORWARD -j DROP
    $iptables -A OUTPUT -j DROP


    wobei ein generelles dropen nicht die feine englische art ist und vermieden werden sollte. besser wäre es, das target von der default chain in eine userdefinierte chain *zeigen* zu lassen und in der wird dann entschieden ob gedropt + gelogt oder rejectet + gelogt wird.


    gute frage, kann ich dir so gar nicht beantworten ;). ich schreibe meine regeln grundsätzlich in ein script.


    Gruß HL
     
  8. saiki

    saiki Bratwurstgriller

    Dabei seit:
    18.03.2003
    Beiträge:
    934
    Zustimmungen:
    0
    Ort:
    Sachsen/ Meerane
    http://www.harry.homelinux.org/

    Mit dieser Seite kann man sich ein relativ gutes Script machen lassen, aus dem man viel lernen kann und es auch erweitern kann.
     
  9. hehejo

    hehejo blöder Purist

    Dabei seit:
    12.10.2003
    Beiträge:
    1.280
    Zustimmungen:
    0
    Ort:
    Stein (Mittelfranken)
    In wie fern "relativ gut?"
     
  10. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  11. saiki

    saiki Bratwurstgriller

    Dabei seit:
    18.03.2003
    Beiträge:
    934
    Zustimmungen:
    0
    Ort:
    Sachsen/ Meerane
    Ich habe angegeben, das er Zugriffe aus dem LAN auf den Router ohne beschränkungen zulassen soll.
    Ich startete das script, danach ging kein ssh mehr auf den Router vom Lan aus. Problem:
    Er hatte das falsche Interface angegeben: statt eth0, stand in der betreffenden Zeile ippp0, das genaue Gegenteil!

    War aber leicht zu finden :)
     
  12. #10 HangLoose, 31.01.2004
    HangLoose

    HangLoose kleiner Bruder von ruth

    Dabei seit:
    07.11.2003
    Beiträge:
    319
    Zustimmungen:
    0
    Ort:
    HH
    moin saiki

    wenn es definitiv keine *fehlbedienung* deinerseits war, wäre es nett wenn du harry ne email zukommen lässt, damit er das fixen kann. wenn einem das auf nem rechner passiert, auf den man nicht so ohne weiteres physischen zugriff hat, ist so ein bug extrem ärgerlich ;).

    die für mich einzige *schwachstelle* an den scripten von harry ist, das von innen nach aussen erstmal alles erlaubt ist. das gefällt nem paranoiker wie mir nicht wirklich :devil:. hab mich auch schon mal mit harry drüber unterhalten, aber er meinte, das es zu aufwendig wäre, sowas zu implementieren.



    Gruß HL
     
Thema:

iptables routing

Die Seite wird geladen...

iptables routing - Ähnliche Themen

  1. Routingprobleme mit iptables

    Routingprobleme mit iptables: Hallo zusammen, ich sitze hier gerade an einem neuen Router und komme im letzten Schritt einfach nicht voran. Insgesamt sollen 3...
  2. openvpn auf debian eingerichtet, probleme mit iptables und routing

    openvpn auf debian eingerichtet, probleme mit iptables und routing: hallo liebe unixboard.de gemeinde, lange profitiere ich schon von euch, da mich oftmals google-links zu euch fuehren, oder ihr eine meiner...
  3. iptables, routing => vlan?

    iptables, routing => vlan?: Hallo! Ich habe mir ein kleines Netzwerk aus VM's aufgebaut um bissl mit iptables rumzuspielen. Eine VM's ist quasi FW zwischen intern und...
  4. iptables postrouting <-> prerouting

    iptables postrouting <-> prerouting: hallo, ich habe folgendes problem: ich habe einen dsl router mit der ip 192.168.1.x. ich habe auf meiner linuxkiste nun den router als...
  5. IPtables-Routing und ICQ (Connection problem)

    IPtables-Routing und ICQ (Connection problem): Hallo zusammen! Ich betreibe einen kleinen Red Hat Rechner als Router für unsere 2 Windows XP Rechner. Auf beiden soll ICQ laufen und wir sind...