iptables / Forward / States

K

kgo

Grünschnabel
Hallo zusammen,
Ich habe hier folgendes Szenario:

Code:
192.168.1.0
       |
       |
192.168.1.10
  Gateway
192.168.2.10
       |
       |
192.168.2.0

Nun habe ich auf dem Gateway mittels iptables und ipv4/ip_forward einige Forwarding Regeln erstellt. Klappt auch alles einwandfrei solange ich nicht mit States arbeite, verwende ich den -m state --state NEW oder ESTABLISHED,RELATED Zusatz (die States sind richtig gesetzt ;)) funktioniert keine einzige Regel mehr.
Jede Verbindung die aufgebaut wird und auch in meinen Regeln erlaubt sein sollte wird mir als gedroppt geloggt, lasse ich den -m --state Part weg funktioniert wieder alles.

Ich arbeite noch nicht all zu lange mit iptables aber bisher konnte ich jedes Problem mit googlen lösen, dieses jedoch nicht X(

Zum System:
SuSE Linux Linux 10.1 mit iptables 1.3.5

Ich bin für jede Info dankbar,

kgo
 
Hallo,

ich nehme doch an, dass Du einen Fehler in den iptables-Regeln hast, also wäre es wohl das Beste, die Regeln zu posten, oder soll ich raten?

Gruß
 
Ok

gerne:

Geht nicht:
Code:
$i = Server im anderen Netz
$iptables -I FORWARD -s 192.168.1.0/24 -d $i -p udp --sport 1024:65535 --dport 88 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$iptables -I FORWARD -s 192.168.1.0/24 -d $i -p tcp --sport 1024:65535 --dport 88 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

Geht:
Code:
$i = Server im anderen Netz
$iptables -I FORWARD -s 192.168.1.0/24 -d $i -p udp --sport 1024:65535 --dport 88 -j ACCEPT
$iptables -I FORWARD -s 192.168.1.0/24 -d $i -p tcp --sport 1024:65535 --dport 88 -j ACCEPT

Ports beliebig austauschbar ....
 
kgo,

schau Dir mal den Aufbau einer Packetfilter-Firewall generell an.
Zunächst kommen die extrem speziellen Regeln, dann die allgemeineren, zum Schluss die ganz allgemeinen.

iptables -I bedeutet ein Insert. Versuch mal, Dich an die Regeln zu halten.
Lies Dir vielleicht mal die Skripte durch, die hier im Forum gepostet werden, oder vielleicht als Anhaltspunkt MonMothas Firewall (such bei google).

Direkt sollte Dir helfen:

Code:
${iptables} -A FORWARD -s 192.168.1.0/24 -d $i -p udp --sport 1024:65535 --dport 88 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
${iptables} -A FORWARD -s 192.168.1.0/24 -d $i -p tcp --sport 1024:65535 --dport 88 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

Siehst Du den Unterschied?

Gruß
 

Ähnliche Themen

Port Forwarding mit iptables

ip6tables Problem

Wired-Lan komisches Verhalten

iptables und whitelist

Internetsharing

Zurück
Oben