iptabels in eine richtung verbieten

Diskutiere iptabels in eine richtung verbieten im Firewalls Forum im Bereich Netzwerke & Serverdienste; Ich möchte das von 10.10.10.0 auf alles zugegriffen werden darf aber nicht andersherum. dies klappt aber nicht mit. :think: iptables -A...

  1. #1 mario9000, 06.10.2010
    mario9000

    mario9000 Mitglied

    Dabei seit:
    24.06.2010
    Beiträge:
    33
    Zustimmungen:
    0
    Ich möchte das von 10.10.10.0 auf alles zugegriffen werden darf aber nicht andersherum.

    dies klappt aber nicht mit. :think:

    iptables -A FORWARD -s ! 10.10.10.0/24 -d 10.10.10.0/24 -j DROP
     
  2. Anzeige

    Schau dir mal diesen Ratgeber an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 bitmuncher, 06.10.2010
    bitmuncher

    bitmuncher Der Stillgelegte

    Dabei seit:
    08.05.2007
    Beiträge:
    3.175
    Zustimmungen:
    3
    Das '-A' weist darauf hin, dass du bereits andere Regeln definiert hast, an die diese Regel angefügt wird. Bedenke also z.B. auch, dass iptables-Regeln immer sequentiell abgearbeitet werden, ggf. also eine davor stehende Regel bereits greift. Und sonst erkläre bitte dein Problem etwas genauer. Geht es hier um einen Router, oder um einen Client?
     
  4. #3 mario9000, 07.10.2010
    mario9000

    mario9000 Mitglied

    Dabei seit:
    24.06.2010
    Beiträge:
    33
    Zustimmungen:
    0
    Ich nutze den PC als router.

    Ich habe im 10.10.10.0 Netz verschiedene Switche und Server die nur über dieses Netz konfiguriert werden können.
    Über VPN bekommt man auch eine IP aus dem Netz. Jetzt möchte ich das man nur auf die Server zugreifen kann wenn man in diesem Netz ist. Das klappt auch nur kann man dann nicht mehr auf andere Netze zugreifen.

    Code:
    echo "Lade Das Systems . . ."
    
        # Externe Lan-Karte -> nur in der VM
            #ifconfig eth1 up
            #ifconfig eth1 192.168.204.101 netmask 255.255.255.0
    
        # Interne Lan-Karte
            ifconfig eth0 up
            modprobe 8021q
    
        #OSZ LAN
            vconfig add eth0 5
            ifconfig eth0.5 up
            ifconfig eth0.5 192.168.100.208 netmask 255.255.255.0
    
        #Verwaltungs LAN
            vconfig add eth0 10
            ifconfig eth0.10 up
            ifconfig eth0.10 10.1.1.250 netmask 255.255.255.0
    
        #Secure LAN
            vconfig add eth0 100
            ifconfig eth0.100 up
            ifconfig eth0.100 10.10.10.254 netmask 255.255.255.0    
            iptables -A FORWARD -s ! 10.10.10.0/24 -d 10.10.10.0/24 -j DROP
    
        #User LAN
            vconfig add eth0 200
            ifconfig eth0.200 up
            ifconfig eth0.200 10.31.0.1 netmask 255.255.0.0    
    
        #PPPoE Server
            ifconfig eth1 up
            echo "PPPoE Server Startet"
            pppoe-server -T 60 -I eth1 -C PPPoE -S PPPoE
    
        #NAT
            iptables -t nat -A PREROUTING -i eth0.5 -p tcp --dport 80 -j DNAT --to-destination 10.1.1.1:80
    
            #main.server.osz
            iptables -t nat -A PREROUTING -i eth0.5 -p tcp --dport 1022 -j DNAT --to-destination 10.1.1.1:22
            iptables -t nat -A PREROUTING -i eth0.5 -p tcp --dport 1080 -j DNAT --to-destination 10.1.1.1:80
    
            #serv01.server.osz
            iptables -t nat -A PREROUTING -i eth0.5 -p tcp --dport 1322 -j DNAT --to-destination 10.1.1.13:22
            iptables -t nat -A PREROUTING -i eth0.5 -p tcp --dport 1380 -j DNAT --to-destination 10.1.1.13:80
    
    
        #Routing
            iptables -t nat -A OUTPUT -d ! 10.0.0.0/8 -p tcp --dport 80 -j DNAT --to-destination 192.168.100.3:8080
            iptables -t nat -A OUTPUT -d ! 10.0.0.0/8 -p tcp --dport 443 -j DNAT --to-destination 192.168.100.3:8080
            route add -net 0.0.0.0 netmask 0.0.0.0 gw 192.168.100.3
    
            #route add -net 0.0.0.0 netmask 0.0.0.0 gw 192.168.204.2
            #iptables -t nat -A POSTROUTING -j SNAT --to-source 192.168.204.101
    ach und wenn wir gleich dabei sind... ich muss über einen Proxy und die Umleitung gleich nach "#Routing" klappt auch nicht >> Proxy antwortet Access Denied... (laut dem Hersteller ist aber alles io beim Proxy)
     
  5. #4 saeckereier, 08.10.2010
    saeckereier

    saeckereier Graue Eminenz

    Dabei seit:
    08.05.2005
    Beiträge:
    1.920
    Zustimmungen:
    0
    Ort:
    Im schönen Norden
    Es ist halt nicht so einfach, denn TCP-Verbindungen gehen *immer* in beide Richtungen. Das Protokoll basiert nämlich darauf, dass der Angerufene alles bestätigt. Wenn du das verbietest, kommt keine Verbindung zu stande.
     
  6. #5 saeckereier, 08.10.2010
    saeckereier

    saeckereier Graue Eminenz

    Dabei seit:
    08.05.2005
    Beiträge:
    1.920
    Zustimmungen:
    0
    Ort:
    Im schönen Norden
    Nebenbei ist es immer sehr hilfreich, wenn man eine zusätzliche Regel vor DROP einbaut, nämlich ein Logging und dann einfach mal versucht, ob es wie gewünscht funktioniert. Wenn nicht kontrolliert man das Log, welche Pakete verworfen wurden.
     
  7. #6 mario9000, 08.10.2010
    mario9000

    mario9000 Mitglied

    Dabei seit:
    24.06.2010
    Beiträge:
    33
    Zustimmungen:
    0
    ich glaub die einfaches Variante ist die VPN auf ein anderes Netz zu legen...

    iptables -A FORWARD -s 10.10.10.0/24 -d!10.10.11.0/24 -j DROP
    iptables -A FORWARD -s!10.10.11.0/24 -d 10.10.10.0/24 -j DROP
     
  8. Anzeige

    Vielleicht findest du in dieser Kategorie etwas passendes.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
Thema:

iptabels in eine richtung verbieten

Die Seite wird geladen...

iptabels in eine richtung verbieten - Ähnliche Themen

  1. [2Probs] SSH publickey und iptabels

    [2Probs] SSH publickey und iptabels: Hallo, ich habe seit ein paar Tagen einen Hetzner RootServer BS ist Suse 10.1. Ich bin auch soweit mit allem zufrieden . Meine 2 kleinen...
  2. Daten für eine Homepage optimieren und verarbeiten?!

    Daten für eine Homepage optimieren und verarbeiten?!: Hi Ihr wisst ja sicher es gibt viele offene Daten die von der Regierung kostenlos zur Verfügung gestellt werden darunter auch "echt zeit daten"....
  3. Programmfenster nur auf einem bestimmten Monitor zulassen

    Programmfenster nur auf einem bestimmten Monitor zulassen: Hallo, ich hoffe ich habe das hier richtig einsortiert. Mein Problem besteht darin, dass ich an meinem Rechner (Ubuntu 17.04) einen Monitor zum...
  4. Keine Zugriff von Windows 10 auf Sambafreigaben

    Keine Zugriff von Windows 10 auf Sambafreigaben: Hallo liebe Forumsmitglieder, Ich habe auf meinem Server (mit fester interner und externer) IP einen VPN und einen Samba Server installiert. Ich...
  5. Daten Convertieren und auf einen Server schieben?

    Daten Convertieren und auf einen Server schieben?: Hi Ich habe ein rriieesseennn Problem. Ja ja mit Windows gehts ned ich weiss.... Es geht darum auf meinen Web CMS möchte ich "echtzeitdaten"...