Posted: Fri Jun 15, 2012 14:50 Post subject: IP Tables Hilfestellung
Hallo zusammen,
vielleicht kann mir jemand mit den iptables helfen. Ich habe hier nich nicht viel mit gemacht, aber bereits im Forum Hilfe erhlaten. Ich hoffe ich kann mein Problem verständlich schildern.
Aktuell hat ein Rechner aus dem Netz 192.168.70.100(Vlan0) Zugriff auf das gesamte
Netz 192.168.69.0 (Vlan4), aber nicht umgekehrt. Alle anderen Netze haben unter einander kein Zugriff. Nun möchte ich zusätzlich realisieren,
das alle Netze auf eine IP 10.10.10.1 (Vlan3) Zugriff haben.
Ich habe folgendes probiert:
Analog zu dieser Regel, habe ich die Foreward_10+11 dazu genommen.
So bekomme ich von der IP 192.168.70.100 Zugriff auf 10.10.10.1 aber wie gewollt nicht umgekhert.
Alle Netze sollen untereinander keinen Zugriff haben, außer ein paar Ausnahmen.
1. IP-192.168.70.100 darf auf gesamtes Vlan4, Vlan4 aber nicht zurück
2. Alle Netze dürfen auf die IP im Vlan3 10.10.10.6, sonst auf keine, aber Vlan4 darf nirgends hin zurück.
eigentlich wars dass schon, aber ich habe kein Blick mehr wie das funktionieren soll. Kannst Du mir hierbei Hilfestellung geben ?
hab das jetzt versucht so zu Lösen, allerdings führt das nicht zum Erfolg.
# Für "IP-192.168.70.100 darf auf gesamtes Vlan4, Vlan4 aber nicht zurück"
iptables -A FORWARD -s 192.168.70.100/32 -d 192.168.0.0/24 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -d 192.168.70.100/32 -s 192.168.0.0/24 -m state --state RELATED,ESTABLISHED -j ACCEPT
# Für "Alle Netze dürfen auf die IP im Vlan3 10.10.10.6"
iptables -A FORWARD -d 10.10.10.6/32 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 10.10.10.6/32 -m state --state RELATED,ESTABLISHED -j ACCEPT
# Für "Alle Netze sollen untereinander keinen Zugriff haben"
iptables -P FORWARD DROP
Allerdings habe ich die SPI Firewall im Router deaktiviert, da auf dem Router noch ein Openvpn Server läuft, kann das hiermit zusammen hängen ?
hilfe....we sagt denn das du verstehst was ich schreibe. das is esenziell bei firewalling, da es hier um sicherheit geht.
also musst du dich ersteinmal mit der grundsaetzlichen funktion auseinandersetzten.
lesetipps:
unseren wiki artikel.
google: man iptables
beim gurgel gibts bestimmt acuh noch anderes gutes lesenswertes.
wenn man auf dem selben level redet helfe ich gerne. ansnsten isses dummes copy n paste und das ist nur arbeit fuer mich und du lenst nix....fragst das machste mal natuerlich wieder b***.
ich hab hier neben auch das dicke iptables buch in dem ich immermal nachschlagen muss. man muss nicht alles wissen...
Hallo,
um Copy+Paste geht es hier nicht, ich beschäftige mich selbstverständlich damit und bin seit Tagen dabei HowTo´s (auch hier im Wiki) zu lesen. Aber ich kam bisher nicht weiter.
Warum meine Regeln nicht funktionieren verstehe ich nicht. Sie sind meines Erachtens vom Code plausiebel.
Dennoch greigen Sie nicht, aus diesem Grund schreibe ich in diesem Forum.
ja dann versuch doch mal das codetechnisch um zusetzen was ich vorgeschlagen hab und poste das dann hier. dann sag ich dir was falsch ist...oder auch nicht.
nur musst dir nur gewahr weden was von welchen interface kommt und wohin darf oder nciht.
das postest du mal als 1.
Hallo,
ich hab mich hieran festgebissen, folgends habe ich noch probiert
Ich habe aus dem Kette anhängen (-A) jetz erst einmal eine Forward Rheinenfolge definiert, fand dies zu gebinn ein wenig überichtlicher (-I)
Zusätzlich habe ich für Vlan2+3+4 Standardports definiert die weitergeleitet werden sollen, ob dies zwingend notwendig ist, bin ich mir
noch nicht ganz sicher. Dies hat aber leider nicht funktioniert, dennoch kommen nicht gewollte Verbindungen zu stande z.B. Vlan0 nach VLAn2
Ermittelt "iptables -vnL FORWARD --line-numbers" habe ich die automatisch angelegten VLAN-Weiterleitungen gelöscht.
iptables -D -linenumber
Hallo,
ich hatte aus privaten Gründen keine Zeit mich zu melden.
Bisher habe ich nichts brauchbares hin bekommen, an Interfaces binden, habe ich nichts brauchbares hinbekommen. Also ich glaube ich gebe jetz auf. Irgendwie habe ich den eindruck das sich iptables auf dem ddwrt irgendwie anders verhalten als beschrieben ?