Routingprobleme mit iptables

Dieses Thema im Forum "Firewalls" wurde erstellt von Thuroc, 28.09.2011.

  1. #1 Thuroc, 28.09.2011
    Zuletzt bearbeitet: 28.09.2011
    Thuroc

    Thuroc Grünschnabel

    Dabei seit:
    07.07.2011
    Beiträge:
    2
    Zustimmungen:
    0
    Ort:
    Köln
    Hallo zusammen,

    ich sitze hier gerade an einem neuen Router und komme im letzten Schritt einfach nicht voran.

    Insgesamt sollen 3 Internetprovider, einer davon mit 6 festen IPs, an ein Büronetz verteilt werden. Prov-1 soll nur http vermitteln, Prov-3 nur sip und Prov-2 alles übrige.

    Ausgehend funktioniert das so weit auch alles wunderbar mit folgendem Script:

    Code:
    #!/bin/bash
    
    echo 1 > /proc/sys/net/ipv4/ip_forward
    
    $IPT -F
    $IPT -t nat -F
    $IPT -t mangle -F
    
    $IPT -A PREROUTING -t mangle -p tcp -i $ethLAN ! -d $gatewayLAN --dport 80 -j MARK --set-mark 80
    $IPT -A PREROUTING -t mangle -p udp -i $ethLAN ! -d $gatewayLAN --dport 5060 -j MARK --set-mark 5060
    
    ip rule add fwmark 80 prio 80 table 80
    ip rule add fwmark 5060 prio 5060 table 5060
    
    ip route add default table 80 via $gatewayProv-1 dev $ethProv-1
    ip route add default table 5060 via $gatewayProv-3 dev $ethProv-3
    ip route add default via $gatewayProv-2 dev $ethProv-2
    
    $IPT -t nat -A POSTROUTING -o $ethProv-3 -j MASQUERADE
    $IPT -t nat -A POSTROUTING -o $ethProv-2 -j MASQUERADE
    $IPT -t nat -A POSTROUTING -o $ethProv-1 -j MASQUERADE
    
    # Die Firewall wurde bis das Routing steht deaktiviert:
    $IPT -P INPUT ACCEPT
    $IPT -P OUTPUT ACCEPT
    $IPT -P FORWARD ACCEPT
    
    Jetzt kommt jedoch das Problem: Der Prov-3 hat diese besagten 6 IPs. Davon sollen jetzt 5 IPs zu festen Rechner zugeordnet werden. Dies habe ich mit folgenden Zeilen ausprobiert:

    Code:
    $IPT -A PREROUTING -t mangle -p udp -i $ethProv-3 -d $ip1Prov-3 --dport 5060 -j ULOG --ulog-nlgroup 1
    $IPT -A PREROUTING -t mangle -p udp -i $ethProv-3 -d $ip1Prov-3 --dport 5060 -j MARK --set-mark 10000
    ip rule add fwmark 10000 prio 10000 table 10000
    ip route add default table 10000 via 192.168.0.33
    
    An dem Rechner im LAN mit der IP 192.168.0.33 kommt jedoch nichts an, bzw. ngrep auf dem Router bestätigt, dass erst garnichts weitergeleitet wird. Das obige ULOG wird jedoch korrekt ausgegeben, womit ich mal davon ausgehe, dass auch das mark korrekt gesetzt wird.

    Hat vielleicht jemand einen Tipp, wie ich diese 5 festen IPs an die Rechner im LAN verteilen kann, bzw. wo hier der Fehler liegen könnte?

    Grüße Thuroc

    //Edit

    Sorry, ganz vergessen. Die IPs werden natürlich auch noch wie folgt zugewiesen:
    ip addr add $ip1Prov-3/23 dev $ethProv-3

    Da ich bisher ein NAT Problem vermute, hab ich auch mal "$IPT -t nat -A POSTROUTING -o $ethLAN -j MASQUERADE" ausprobiert. Leider ohne Erfolg.
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
Thema:

Routingprobleme mit iptables

Die Seite wird geladen...

Routingprobleme mit iptables - Ähnliche Themen

  1. FTP/FTPS ohne ip_conntrack_ftp oder nf_conntrack_ftp mit iptables

    FTP/FTPS ohne ip_conntrack_ftp oder nf_conntrack_ftp mit iptables: Guten Tag, kennt jemand von euch eine Möglichkeit wie ich vsftpd nutzen kann zusammen mit einer Firewall ohne die im Betreff angegebenen...
  2. iptables und whitelist

    iptables und whitelist: Moin zusammen, Nach einer Ewigkeit melde ich mich mal hier zurück. Ich hab da so ein kleines Problemchen. Ich mach z.Zt. eine Umschulung zum...
  3. iptables blocke nur von bestimmter ip

    iptables blocke nur von bestimmter ip: Hallo, ich habe ein kleines Heimnetzwerk mit einem Router unter openWRT. Dort kann ich mittels iptables -I OUTPUT -p udp --dport 53 -m...
  4. Opensuse iptables (yast FW) + MiniUPnPd

    Opensuse iptables (yast FW) + MiniUPnPd: Hallo zusammen, ich habe ja meine OpenSuse Box momentan als Gateway eingerichtet und der Router dient nur als Access Point für alle Geräte...
  5. IPtables

    IPtables: Hallo Leute, bin zurzeit dabei, einen Proxy aufzusetzen, der die IP meines Webservers vetuschen soll. Es läuft eig. schon alles super, nur eine...