iptabels in eine richtung verbieten

Diskutiere iptabels in eine richtung verbieten im Firewalls Forum im Bereich Netzwerke & Serverdienste; Ich möchte das von 10.10.10.0 auf alles zugegriffen werden darf aber nicht andersherum. dies klappt aber nicht mit. :think: iptables -A...

  1. #1 mario9000, 06.10.2010
    mario9000

    mario9000 Mitglied

    Dabei seit:
    24.06.2010
    Beiträge:
    33
    Zustimmungen:
    0
    Ich möchte das von 10.10.10.0 auf alles zugegriffen werden darf aber nicht andersherum.

    dies klappt aber nicht mit. :think:

    iptables -A FORWARD -s ! 10.10.10.0/24 -d 10.10.10.0/24 -j DROP
     
  2. #2 bitmuncher, 06.10.2010
    bitmuncher

    bitmuncher Foren Gott

    Dabei seit:
    08.05.2007
    Beiträge:
    3.180
    Zustimmungen:
    3
    Das '-A' weist darauf hin, dass du bereits andere Regeln definiert hast, an die diese Regel angefügt wird. Bedenke also z.B. auch, dass iptables-Regeln immer sequentiell abgearbeitet werden, ggf. also eine davor stehende Regel bereits greift. Und sonst erkläre bitte dein Problem etwas genauer. Geht es hier um einen Router, oder um einen Client?
     
  3. #3 mario9000, 07.10.2010
    mario9000

    mario9000 Mitglied

    Dabei seit:
    24.06.2010
    Beiträge:
    33
    Zustimmungen:
    0
    Ich nutze den PC als router.

    Ich habe im 10.10.10.0 Netz verschiedene Switche und Server die nur über dieses Netz konfiguriert werden können.
    Über VPN bekommt man auch eine IP aus dem Netz. Jetzt möchte ich das man nur auf die Server zugreifen kann wenn man in diesem Netz ist. Das klappt auch nur kann man dann nicht mehr auf andere Netze zugreifen.

    Code:
    echo "Lade Das Systems . . ."
    
        # Externe Lan-Karte -> nur in der VM
            #ifconfig eth1 up
            #ifconfig eth1 192.168.204.101 netmask 255.255.255.0
    
        # Interne Lan-Karte
            ifconfig eth0 up
            modprobe 8021q
    
        #OSZ LAN
            vconfig add eth0 5
            ifconfig eth0.5 up
            ifconfig eth0.5 192.168.100.208 netmask 255.255.255.0
    
        #Verwaltungs LAN
            vconfig add eth0 10
            ifconfig eth0.10 up
            ifconfig eth0.10 10.1.1.250 netmask 255.255.255.0
    
        #Secure LAN
            vconfig add eth0 100
            ifconfig eth0.100 up
            ifconfig eth0.100 10.10.10.254 netmask 255.255.255.0    
            iptables -A FORWARD -s ! 10.10.10.0/24 -d 10.10.10.0/24 -j DROP
    
        #User LAN
            vconfig add eth0 200
            ifconfig eth0.200 up
            ifconfig eth0.200 10.31.0.1 netmask 255.255.0.0    
    
        #PPPoE Server
            ifconfig eth1 up
            echo "PPPoE Server Startet"
            pppoe-server -T 60 -I eth1 -C PPPoE -S PPPoE
    
        #NAT
            iptables -t nat -A PREROUTING -i eth0.5 -p tcp --dport 80 -j DNAT --to-destination 10.1.1.1:80
    
            #main.server.osz
            iptables -t nat -A PREROUTING -i eth0.5 -p tcp --dport 1022 -j DNAT --to-destination 10.1.1.1:22
            iptables -t nat -A PREROUTING -i eth0.5 -p tcp --dport 1080 -j DNAT --to-destination 10.1.1.1:80
    
            #serv01.server.osz
            iptables -t nat -A PREROUTING -i eth0.5 -p tcp --dport 1322 -j DNAT --to-destination 10.1.1.13:22
            iptables -t nat -A PREROUTING -i eth0.5 -p tcp --dport 1380 -j DNAT --to-destination 10.1.1.13:80
    
    
        #Routing
            iptables -t nat -A OUTPUT -d ! 10.0.0.0/8 -p tcp --dport 80 -j DNAT --to-destination 192.168.100.3:8080
            iptables -t nat -A OUTPUT -d ! 10.0.0.0/8 -p tcp --dport 443 -j DNAT --to-destination 192.168.100.3:8080
            route add -net 0.0.0.0 netmask 0.0.0.0 gw 192.168.100.3
    
            #route add -net 0.0.0.0 netmask 0.0.0.0 gw 192.168.204.2
            #iptables -t nat -A POSTROUTING -j SNAT --to-source 192.168.204.101
    ach und wenn wir gleich dabei sind... ich muss über einen Proxy und die Umleitung gleich nach "#Routing" klappt auch nicht >> Proxy antwortet Access Denied... (laut dem Hersteller ist aber alles io beim Proxy)
     
  4. #4 saeckereier, 08.10.2010
    saeckereier

    saeckereier Graue Eminenz

    Dabei seit:
    08.05.2005
    Beiträge:
    1.920
    Zustimmungen:
    0
    Ort:
    Im schönen Norden
    Es ist halt nicht so einfach, denn TCP-Verbindungen gehen *immer* in beide Richtungen. Das Protokoll basiert nämlich darauf, dass der Angerufene alles bestätigt. Wenn du das verbietest, kommt keine Verbindung zu stande.
     
  5. #5 saeckereier, 08.10.2010
    saeckereier

    saeckereier Graue Eminenz

    Dabei seit:
    08.05.2005
    Beiträge:
    1.920
    Zustimmungen:
    0
    Ort:
    Im schönen Norden
    Nebenbei ist es immer sehr hilfreich, wenn man eine zusätzliche Regel vor DROP einbaut, nämlich ein Logging und dann einfach mal versucht, ob es wie gewünscht funktioniert. Wenn nicht kontrolliert man das Log, welche Pakete verworfen wurden.
     
  6. #6 mario9000, 08.10.2010
    mario9000

    mario9000 Mitglied

    Dabei seit:
    24.06.2010
    Beiträge:
    33
    Zustimmungen:
    0
    ich glaub die einfaches Variante ist die VPN auf ein anderes Netz zu legen...

    iptables -A FORWARD -s 10.10.10.0/24 -d!10.10.11.0/24 -j DROP
    iptables -A FORWARD -s!10.10.11.0/24 -d 10.10.10.0/24 -j DROP
     
Thema:

iptabels in eine richtung verbieten

Die Seite wird geladen...

iptabels in eine richtung verbieten - Ähnliche Themen

  1. [2Probs] SSH publickey und iptabels

    [2Probs] SSH publickey und iptabels: Hallo, ich habe seit ein paar Tagen einen Hetzner RootServer BS ist Suse 10.1. Ich bin auch soweit mit allem zufrieden . Meine 2 kleinen...
  2. Wie lege ich einen neuen Samba User (Read only) für 2 Ordner an ?

    Wie lege ich einen neuen Samba User (Read only) für 2 Ordner an ?: Wie kann ich einen zusätzlichen Samba User auf AIX anlegen, der nur auf 2 Ordner Read-Only-Rechte bekommen soll ?
  3. Spalten einer Datei in neue Datei integrieren.

    Spalten einer Datei in neue Datei integrieren.: Hallo ich habe folgendes Problem. Ich habe eine Datei mit ca. 39000 Zeilen und entsprechenden Infos. Nun möchte ich gerne von dieser Datei Die...
  4. SED: eine Zeile mit einem Grep-Output ersetzen

    SED: eine Zeile mit einem Grep-Output ersetzen: Hallo Leute, ich bin kurz vor dem Ziel stecken geblieben. Wie im Titel geschrieben möchte ich in einer Datei eine bestimmte Zeile #18 mit dem...
  5. Suche ein Buch für einen CentOS-Server

    Suche ein Buch für einen CentOS-Server: Hey, kennt jemand von euch ein gutes Buch über CentOS-Server. Also es sollte Sicherheit, Mail, openVPN, nginx, vlt Let's Encrypt und Jabber...
  1. Diese Seite verwendet Cookies um Inhalte zu personalisieren. Außerdem werden auch Cookies von Diensten Dritter gesetzt. Mit dem weiteren Aufenthalt akzeptierst du diesen Einsatz von Cookies.
    Information ausblenden