Routing und Firewall zw 3 netzen, wie?

Dieses Thema im Forum "Internet, lokale Netzwerke und Wireless Lan" wurde erstellt von der2of6, 26.12.2004.

  1. #1 der2of6, 26.12.2004
    Zuletzt bearbeitet: 26.12.2004
    der2of6

    der2of6 Grünschnabel

    Dabei seit:
    26.12.2004
    Beiträge:
    5
    Zustimmungen:
    0
    Hallo,
    Erst mal eine übersicht über mein system:

    Der router besitzt 3 Netze:

    eth0 10.5.11.254
    eth1 10.6.1.7
    eth2//ppp0

    Sowie einige routen nach 10.0.0.0/255.0.0.0 sowie einige echte ips (62.158.x.y) über eth1 nach 10.6.1.254.

    Ich habe eine firewall mit dem script "firewall-jay" erstellt und komme von den clients auch wunderbar in alle netze.
    Vom router selber komme ich aber NICHT nach 10.0.0.0 und auch die route nach 62.x.y.z geht nicht.
    Pingen kann ich schon, aber alle anderen sachen wie http etc gehen nicht.

    Ich hoffe das ist soweit nachzuvollziehen

    Wenn ich das firewall skript beende dann geht der zugriff wieder, allerdings geht dann kein dsl, was ja logisch ist.

    Hat jemand eine lösung?

    Ich kann wenn erwünscht auch mal die iptables posten.

    Ich nehme auch auch andere firewall skripe in kauf, solange sie portforwarding von dynamischen ips können und man für die konfig nicht unbedingt einen X-server braucht, weil die kiste hat keinen.

    Ich hoffe jemand kann mir weiter helfen
    danke im vorraus
    der2of6

    PS:
    Wenn das eher ins firewall-forum passt, dann bitte verschieben
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. hopfe

    hopfe Haudegen

    Dabei seit:
    01.04.2003
    Beiträge:
    733
    Zustimmungen:
    0
    Ort:
    Aachen
    So wie das klingt stimmen deine Routen zwischen den netzen, ansonsten könntest du nicht Pingen. Ein 'normales' Firewallscript sperrt alle Verbindungen außer jene du freigibst. Überlege dir einmal welche Verbindungen du von welches Netz ins Andere zulassen willst, und poste dann mal deine Anforderungen und dein derzeitiges FW-Script.
     
  4. #3 der2of6, 27.12.2004
    der2of6

    der2of6 Grünschnabel

    Dabei seit:
    26.12.2004
    Beiträge:
    5
    Zustimmungen:
    0
    Also es soll eigentlich nur von ppp0 in richtung eth0 und eth1 eine firewall sein und einige ports weitergeleitet werdeb.

    Zwischen den einzelnen netzwerken auf eth0 und eth1 soll einfach nur ein routing stattfinden, da hier die firewalls auf anderen rechnern sitzen.

    Und wie gesagt, von anderen rechner aus geht der zugriff in die anderen netze bei eth1, nur vom router nicht.

    Und hier nun die Regeln, die mittels dem hier erstellt wurden.


    PHP:
    # Generated by iptables-save v1.2.11 on Mon Dec 27 09:50:07 2004
    *filter
    :INPUT DROP [17:1593]
    :
    FORWARD DROP [2:96]
    :
    OUTPUT ACCEPT [2458:231939]
    :
    JAY_CHECK_ICMP - [0:0]
    :
    JAY_CHECK_TCP - [0:0]
    :
    JAY_FWD_INET_LAN - [0:0]
    :
    JAY_FWD_LAN_INET - [0:0]
    :
    JAY_FWD_LAN_LAN - [0:0]
    :
    JAY_INETIN - [0:0]
    :
    JAY_INETIN_TCP - [0:0]
    :
    JAY_INETIN_UDP - [0:0]
    :
    JAY_INETOUT - [0:0]
    :
    JAY_LANIN - [0:0]
    :
    JAY_LANIN_TCP - [0:0]
    :
    JAY_LANIN_UDP - [0:0]
    :
    JAY_LANOUT - [0:0]
    :
    JAY_SPOOFING - [0:0]
    :
    JAY_SYNFLOOD - [0:0]
    -
    A INPUT -i lo -j ACCEPT 
    -A INPUT -i eth0 -j JAY_LANIN 
    -A INPUT -i eth1 -j JAY_LANIN 
    -A INPUT -i ppp0 -j JAY_INETIN 
    -A FORWARD -i eth1 -o eth2 -j ACCEPT 
    -A FORWARD -i eth2 -o eth1 -j ACCEPT 
    -A FORWARD -i eth0 -o eth1 -j JAY_FWD_LAN_LAN 
    -A FORWARD -i eth1 -o eth0 -j JAY_FWD_LAN_LAN 
    -A FORWARD -i ppp0 -o eth0 -j JAY_FWD_INET_LAN 
    -A FORWARD -i ppp0 -o eth1 -j JAY_FWD_INET_LAN 
    -A FORWARD -i eth0 -o ppp0 -j JAY_FWD_LAN_INET 
    -A FORWARD -i eth1 -o ppp0 -j JAY_FWD_LAN_INET 
    -A FORWARD -i ppp0 -p tcp -m tcp --dport 6662 -m state --state NEW -j ACCEPT 
    -A FORWARD -i ppp0 -p tcp -m tcp --dport 6666 -m state --state NEW -j ACCEPT 
    -A FORWARD -i ppp0 -p udp -m udp --dport 6672 -m state --state NEW -j ACCEPT 
    -A FORWARD -i eth1 -o eth2 -j ACCEPT 
    -A FORWARD -i eth2 -o eth1 -j ACCEPT 
    -A OUTPUT -o eth0 -j JAY_LANOUT 
    -A OUTPUT -o eth1 -j JAY_LANOUT 
    -A OUTPUT -o ppp0 -j JAY_INETOUT 
    -A JAY_CHECK_ICMP -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT 
    -A JAY_CHECK_ICMP -p icmp -m icmp --icmp-type 17 -j DROP 
    -A JAY_CHECK_ICMP -p icmp -m icmp --icmp-type 5/-j DROP 
    -A JAY_CHECK_ICMP -p icmp -m icmp --icmp-type 5/-j DROP 
    -A JAY_CHECK_ICMP -p icmp -m icmp --icmp-type 5/-j DROP 
    -A JAY_CHECK_ICMP -p icmp -m icmp --icmp-type 5/-j DROP 
    -A JAY_CHECK_ICMP -p icmp -m icmp --icmp-type 5/-j DROP 
    -A JAY_CHECK_ICMP -p icmp -m icmp --icmp-type 13 -j DROP 
    -A JAY_CHECK_ICMP -p icmp -m icmp --icmp-type 14 -j DROP 
    -A JAY_CHECK_ICMP -j ACCEPT 
    -A JAY_CHECK_TCP -p tcp -m tcp ! --tcp-flags SYN,RST,ACK SYN -m state --state NEW -j DROP 
    -A JAY_CHECK_TCP -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP 
    -A JAY_CHECK_TCP -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP 
    -A JAY_CHECK_TCP -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP 
    -A JAY_CHECK_TCP -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP 
    -A JAY_CHECK_TCP -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP 
    -A JAY_CHECK_TCP -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP 
    -A JAY_CHECK_TCP -m state --state INVALID -j DROP 
    -A JAY_CHECK_TCP -p tcp -m tcp --tcp-option 64 -j DROP 
    -A JAY_CHECK_TCP -p tcp -m tcp --tcp-option 128 -j DROP 
    -A JAY_FWD_INET_LAN -p tcp -j JAY_CHECK_TCP 
    -A JAY_FWD_INET_LAN -p icmp -j JAY_CHECK_ICMP 
    -A JAY_FWD_INET_LAN -j JAY_SPOOFING 
    -A JAY_FWD_INET_LAN -m state --state RELATED,ESTABLISHED -j ACCEPT 
    -A JAY_FWD_LAN_INET -p icmp -m icmp --icmp-type 0 -m limit --limit 1/sec --limit-burst 1 -j LOG --log-prefix "Dopped PING reply to outside" --log-level 6 
    -A JAY_FWD_LAN_INET -p icmp -m icmp --icmp-type 0 -j DROP 
    -A JAY_FWD_LAN_INET -p icmp -m state --state INVALID -j DROP 
    -A JAY_FWD_LAN_INET -p tcp -j JAY_CHECK_TCP 
    -A JAY_FWD_LAN_INET -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu 
    -A JAY_FWD_LAN_INET --j DROP 
    -A JAY_FWD_LAN_INET -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT 
    -A JAY_FWD_LAN_LAN -j ACCEPT 
    -A JAY_INETIN -j JAY_SPOOFING 
    -A JAY_INETIN -p tcp -j JAY_INETIN_TCP 
    -A JAY_INETIN -p udp -j JAY_INETIN_UDP 
    -A JAY_INETIN -p icmp -j JAY_CHECK_ICMP 
    -A JAY_INETIN -m state --state ESTABLISHED -j ACCEPT 
    -A JAY_INETIN -j DROP 
    -A JAY_INETIN_TCP -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j JAY_SYNFLOOD 
    -A JAY_INETIN_TCP -j JAY_CHECK_TCP 
    -A JAY_INETIN_TCP -i ppp0 -p tcp -m tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT 
    -A JAY_INETIN_TCP -i ppp0 -p tcp -m tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT 
    -A JAY_INETIN_TCP -i ppp0 -p tcp -m tcp --dport 123 -m state --state NEW,ESTABLISHED -j ACCEPT 
    -A JAY_INETIN_TCP -p tcp -m tcp --dport 1024:65535 -m state --state RELATED,ESTABLISHED -j ACCEPT 
    -A JAY_INETIN_UDP -s 10.5.11.254 -p udp -m udp --sport 53 -m state --state ESTABLISHED -j ACCEPT 
    -A JAY_INETIN_UDP -p udp -m udp --dport 1024:65535 -m state --state RELATED,ESTABLISHED -j ACCEPT 
    -A JAY_LANIN -s 10.5.11.0/255.255.255.0 -i eth0 -p tcp -j JAY_LANIN_TCP 
    -A JAY_LANIN -s 10.5.11.0/255.255.255.0 -i eth0 -p udp -j JAY_LANIN_UDP 
    -A JAY_LANIN -s 10.6.1.0/255.255.255.0 -i eth1 -p tcp -j JAY_LANIN_TCP 
    -A JAY_LANIN -s 10.6.1.0/255.255.255.0 -i eth1 -p udp -j JAY_LANIN_UDP 
    -A JAY_LANIN -p icmp -j ACCEPT 
    -A JAY_LANIN_TCP -m state --state NEW,ESTABLISHED -j ACCEPT 
    -A JAY_LANIN_TCP -p tcp -m tcp --dport 1024:65535 -m state --state RELATED,ESTABLISHED -j ACCEPT 
    -A JAY_LANIN_UDP -m state --state NEW,ESTABLISHED -j ACCEPT 
    -A JAY_LANIN_UDP -p udp -m udp --dport 1024:65535 -m state --state RELATED,ESTABLISHED -j ACCEPT 
    -A JAY_LANOUT -d 10.5.11.0/255.255.255.0 -o eth0 -j ACCEPT 
    -A JAY_LANOUT -d 10.6.1.0/255.255.255.0 -o eth1 -j ACCEPT 
    -A JAY_SPOOFING -s 0.0.0.0/255.0.0.0 -m limit --limit 1/sec --limit-burst 1 -j LOG --log-prefix "SPOOFED Packet " --log-level 6 
    -A JAY_SPOOFING -s 10.0.0.0/255.0.0.0 -m limit --limit 1/sec --limit-burst 1 -j LOG --log-prefix "SPOOFED Packet " --log-level 6 
    -A JAY_SPOOFING -s 127.0.0.0/255.0.0.0 -m limit --limit 1/sec --limit-burst 1 -j LOG --log-prefix "SPOOFED Packet " --log-level 6 
    -A JAY_SPOOFING -s 169.254.0.0/255.255.0.0 -m limit --limit 1/sec --limit-burst 1 -j LOG --log-prefix "SPOOFED Packet " --log-level 6 
    -A JAY_SPOOFING -s 172.16.0.0/255.240.0.0 -m limit --limit 1/sec --limit-burst 1 -j LOG --log-prefix "SPOOFED Packet " --log-level 6 
    -A JAY_SPOOFING -s 192.0.2.0/255.255.255.0 -m limit --limit 1/sec --limit-burst 1 -j LOG --log-prefix "SPOOFED Packet " --log-level 6 
    -A JAY_SPOOFING -s 192.168.0.0/255.255.0.0 -m limit --limit 1/sec --limit-burst 1 -j LOG --log-prefix "SPOOFED Packet " --log-level 6 
    -A JAY_SPOOFING -s 224.0.0.0/240.0.0.0 -m limit --limit 1/sec --limit-burst 1 -j LOG --log-prefix "SPOOFED Packet " --log-level 6 
    -A JAY_SPOOFING -s 240.0.0.0/248.0.0.0 -m limit --limit 1/sec --limit-burst 1 -j LOG --log-prefix "SPOOFED Packet " --log-level 6 
    -A JAY_SPOOFING -s 248.0.0.0/248.0.0.0 -m limit --limit 1/sec --limit-burst 1 -j LOG --log-prefix "SPOOFED Packet " --log-level 6 
    -A JAY_SPOOFING -s 255.255.255.255 -m limit --limit 1/sec --limit-burst 1 -j LOG --log-prefix "SPOOFED Packet " --log-level 6 
    -A JAY_SPOOFING -s 217.232.238.146 -m limit --limit 1/sec --limit-burst 1 -j LOG --log-prefix "SPOOFED Packet " --log-level 6 
    -A JAY_SPOOFING -s 10.5.11.0/255.255.255.0 -m limit --limit 1/sec --limit-burst 1 -j LOG --log-prefix "SPOOFED Packet " --log-level 6 
    -A JAY_SPOOFING -s 10.6.1.0/255.255.255.0 -m limit --limit 1/sec --limit-burst 1 -j LOG --log-prefix "SPOOFED Packet " --log-level 6 
    -A JAY_SPOOFING -d 255.255.255.255 -m limit --limit 1/sec --limit-burst 1 -j LOG --log-prefix "SPOOFED Packet " --log-level 6 
    -A JAY_SPOOFING -d 0.0.0.0 -m limit --limit 1/sec --limit-burst 1 -j LOG --log-prefix "SPOOFED Packet " --log-level 6 
    -A JAY_SPOOFING -s 0.0.0.0/255.0.0.0 -j DROP 
    -A JAY_SPOOFING -s 10.0.0.0/255.0.0.0 -j DROP 
    -A JAY_SPOOFING -s 127.0.0.0/255.0.0.0 -j DROP 
    -A JAY_SPOOFING -s 169.254.0.0/255.255.0.0 -j DROP 
    -A JAY_SPOOFING -s 172.16.0.0/255.240.0.0 -j DROP 
    -A JAY_SPOOFING -s 192.0.2.0/255.255.255.0 -j DROP 
    -A JAY_SPOOFING -s 192.168.0.0/255.255.0.0 -j DROP 
    -A JAY_SPOOFING -s 224.0.0.0/240.0.0.0 -j DROP 
    -A JAY_SPOOFING -s 240.0.0.0/248.0.0.0 -j DROP 
    -A JAY_SPOOFING -s 248.0.0.0/248.0.0.0 -j DROP 
    -A JAY_SPOOFING -s 255.255.255.255 -j DROP 
    -A JAY_SPOOFING -s 217.232.238.146 -j DROP 
    -A JAY_SPOOFING -s 10.5.11.0/255.255.255.0 -j DROP 
    -A JAY_SPOOFING -s 10.6.1.0/255.255.255.0 -j DROP 
    -A JAY_SPOOFING -d 255.255.255.255 -j DROP 
    -A JAY_SPOOFING -d 0.0.0.0 -j DROP 
    -A JAY_SYNFLOOD -m limit --limit 4/sec --limit-burst 4 -RETURN 
    -
    A JAY_SYNFLOOD -j DROP 
    COMMIT
    # Completed on Mon Dec 27 09:50:07 2004
    # Generated by iptables-save v1.2.11 on Mon Dec 27 09:50:07 2004
    *mangle
    :PREROUTING ACCEPT [22797413:16167138216]
    :
    INPUT ACCEPT [9376221:8706931804]
    :
    FORWARD ACCEPT [13209078:7453778655]
    :
    OUTPUT ACCEPT [8961965:7774004283]
    :
    POSTROUTING ACCEPT [22171131:15227959916]
    COMMIT
    # Completed on Mon Dec 27 09:50:07 2004
    # Generated by iptables-save v1.2.11 on Mon Dec 27 09:50:07 2004
    *nat
    :PREROUTING ACCEPT [124421:5623909]
    :
    POSTROUTING ACCEPT [75432:4473275]
    :
    OUTPUT ACCEPT [1682:180866]
    -
    A PREROUTING -d 217.232.238.146 -i ppp0 -p tcp -m tcp --dport 6662 -j DNAT --to-destination 10.5.11.1 
    -A PREROUTING -d 217.232.238.146 -i ppp0 -p tcp -m tcp --dport 6666 -j DNAT --to-destination 10.5.11.1 
    -A PREROUTING -d 217.232.238.146 -i ppp0 -p udp -m udp --dport 6672 -j DNAT --to-destination 10.5.11.1 
    -A POSTROUTING -s 10.5.11.0/255.255.255.0 -o ppp0 -j MASQUERADE 
    -A POSTROUTING -s 10.6.1.0/255.255.255.0 -o ppp0 -j MASQUERADE 
    COMMIT
    # Completed on Mon Dec 27 09:50:07 2004
     
Thema:

Routing und Firewall zw 3 netzen, wie?

Die Seite wird geladen...

Routing und Firewall zw 3 netzen, wie? - Ähnliche Themen

  1. Routing funktioniert nicht mehr nach dem Start der Firewall

    Routing funktioniert nicht mehr nach dem Start der Firewall: Hallo, ich habe ein großes Problem und weiß nicht mehr weiter. Suche schon den ganzen Tag im Netz nach einer Problemlösung Ich habe ein...
  2. Routing 2 Subnetze (WLAN und ETH)

    Routing 2 Subnetze (WLAN und ETH): Hallo, hoffe ich bin hier richtig. Ich habe ein Raspberry Pi welcher als WLAN-Accesspoint dient. Dabei sehen die Interfaces wie folgt aus: wlan1...
  3. CentOS 7: Falsche Metric bei regelbasiertem Routing nach Server-Reboot

    CentOS 7: Falsche Metric bei regelbasiertem Routing nach Server-Reboot: Hallo zusammen Ich möchte unseren existierenden SFTP Server durch einen neuen Server mit CentOS 7 ersetzen. Da der Server einerseits direkt via...
  4. Debian Routing Problem

    Debian Routing Problem: Liebes Forum, ich versuche über einen Debian Server eine pppoe Verbindung im Lan bereitzustellen, leider bekomme ich auf den Clients immer nur...
  5. Routing mehrere Netzwerkkarten

    Routing mehrere Netzwerkkarten: Guten Abend, nach dem ich das Problem mit dem SIP und der Firewall gelöst habe, stehe ich vor dem Problem mit dem Routing. Der Gateway hat jetzt...