PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : iptables / Forward / States



kgo
14.09.2006, 18:07
Hallo zusammen,
Ich habe hier folgendes Szenario:



192.168.1.0
|
|
192.168.1.10
Gateway
192.168.2.10
|
|
192.168.2.0


Nun habe ich auf dem Gateway mittels iptables und ipv4/ip_forward einige Forwarding Regeln erstellt. Klappt auch alles einwandfrei solange ich nicht mit States arbeite, verwende ich den -m state --state NEW oder ESTABLISHED,RELATED Zusatz (die States sind richtig gesetzt ;)) funktioniert keine einzige Regel mehr.
Jede Verbindung die aufgebaut wird und auch in meinen Regeln erlaubt sein sollte wird mir als gedroppt geloggt, lasse ich den -m --state Part weg funktioniert wieder alles.

Ich arbeite noch nicht all zu lange mit iptables aber bisher konnte ich jedes Problem mit googlen lösen, dieses jedoch nicht X(

Zum System:
SuSE Linux Linux 10.1 mit iptables 1.3.5

Ich bin für jede Info dankbar,

kgo

phrenicus
14.09.2006, 18:37
Hallo,

ich nehme doch an, dass Du einen Fehler in den iptables-Regeln hast, also wäre es wohl das Beste, die Regeln zu posten, oder soll ich raten?

Gruß

kgo
14.09.2006, 18:48
gerne:

Geht nicht:


$i = Server im anderen Netz
$iptables -I FORWARD -s 192.168.1.0/24 -d $i -p udp --sport 1024:65535 --dport 88 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$iptables -I FORWARD -s 192.168.1.0/24 -d $i -p tcp --sport 1024:65535 --dport 88 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT


Geht:


$i = Server im anderen Netz
$iptables -I FORWARD -s 192.168.1.0/24 -d $i -p udp --sport 1024:65535 --dport 88 -j ACCEPT
$iptables -I FORWARD -s 192.168.1.0/24 -d $i -p tcp --sport 1024:65535 --dport 88 -j ACCEPT


Ports beliebig austauschbar ....

phrenicus
15.09.2006, 01:42
kgo,

schau Dir mal den Aufbau einer Packetfilter-Firewall generell an.
Zunächst kommen die extrem speziellen Regeln, dann die allgemeineren, zum Schluss die ganz allgemeinen.

iptables -I bedeutet ein Insert. Versuch mal, Dich an die Regeln zu halten.
Lies Dir vielleicht mal die Skripte durch, die hier im Forum gepostet werden, oder vielleicht als Anhaltspunkt MonMothas Firewall (such bei google).

Direkt sollte Dir helfen:



${iptables} -A FORWARD -s 192.168.1.0/24 -d $i -p udp --sport 1024:65535 --dport 88 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
${iptables} -A FORWARD -s 192.168.1.0/24 -d $i -p tcp --sport 1024:65535 --dport 88 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT


Siehst Du den Unterschied?

Gruß