Posted: Fri Jun 15, 2012 14:50 Post subject: IP Tables Hilfestellung
Hallo zusammen,
vielleicht kann mir jemand mit den iptables helfen. Ich habe hier nich nicht viel mit gemacht, aber bereits im Forum Hilfe erhlaten. Ich hoffe ich kann mein Problem verständlich schildern.
Aktuell hat ein Rechner aus dem Netz 192.168.70.100(Vlan0) Zugriff auf das gesamte
Netz 192.168.69.0 (Vlan4), aber nicht umgekehrt. Alle anderen Netze haben unter einander kein Zugriff. Nun möchte ich zusätzlich realisieren,
das alle Netze auf eine IP 10.10.10.1 (Vlan3) Zugriff haben.
Ich habe folgendes probiert:
Analog zu dieser Regel, habe ich die Foreward_10+11 dazu genommen.
So bekomme ich von der IP 192.168.70.100 Zugriff auf 10.10.10.1 aber wie gewollt nicht umgekhert.
also ich hab nur so ca verstanden was heir gemacht werden soll aber eins seh ich sofort... viel zu kopliziert und zu umstaendlich.
nutze dass iptables beim durchlaufen die 1. rule ausfueht die auf das aktuelle paket zutrifft. da kannst du bestimmt 50% der rules dumpen. _________________ Forum Guidelines...How to get help
&
Forum Rules
&
RTFM/STFW
&
Its not that hard to throw some buzzwords into the WIKI search
_________________
I'm NOT rude, just offer pure facts!
_________________
TP-Link (Atheros) debrick service in EU
Alle Netze sollen untereinander keinen Zugriff haben, außer ein paar Ausnahmen.
1. IP-192.168.70.100 darf auf gesamtes Vlan4, Vlan4 aber nicht zurück
2. Alle Netze dürfen auf die IP im Vlan3 10.10.10.6, sonst auf keine, aber Vlan4 darf nirgends hin zurück.
eigentlich wars dass schon, aber ich habe kein Blick mehr wie das funktionieren soll. Kannst Du mir hierbei Hilfestellung geben ?
hab das jetzt versucht so zu Lösen, allerdings führt das nicht zum Erfolg.
# Für "IP-192.168.70.100 darf auf gesamtes Vlan4, Vlan4 aber nicht zurück"
iptables -A FORWARD -s 192.168.70.100/32 -d 192.168.0.0/24 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -d 192.168.70.100/32 -s 192.168.0.0/24 -m state --state RELATED,ESTABLISHED -j ACCEPT
# Für "Alle Netze dürfen auf die IP im Vlan3 10.10.10.6"
iptables -A FORWARD -d 10.10.10.6/32 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 10.10.10.6/32 -m state --state RELATED,ESTABLISHED -j ACCEPT
# Für "Alle Netze sollen untereinander keinen Zugriff haben"
iptables -P FORWARD DROP
Allerdings habe ich die SPI Firewall im Router deaktiviert, da auf dem Router noch ein Openvpn Server läuft, kann das hiermit zusammen hängen ?
1. IP-192.168.70.100 darf auf gesamtes Vlan4, Vlan4 aber nicht zurück
mach nat
Quote:
2. Alle Netze dürfen auf die IP im Vlan3 10.10.10.6, sonst auf keine, aber Vlan4 darf nirgends hin zurück.
1. erlaube FORWARD alle auf diese ip
2. DROP sonstige
so, mit 3 regeln alles erschlagen _________________ Forum Guidelines...How to get help
&
Forum Rules
&
RTFM/STFW
&
Its not that hard to throw some buzzwords into the WIKI search
_________________
I'm NOT rude, just offer pure facts!
_________________
TP-Link (Atheros) debrick service in EU
hilfe....we sagt denn das du verstehst was ich schreibe. das is esenziell bei firewalling, da es hier um sicherheit geht.
also musst du dich ersteinmal mit der grundsaetzlichen funktion auseinandersetzten.
lesetipps:
unseren wiki artikel.
google: man iptables
beim gurgel gibts bestimmt acuh noch anderes gutes lesenswertes.
wenn man auf dem selben level redet helfe ich gerne. ansnsten isses dummes copy n paste und das ist nur arbeit fuer mich und du lenst nix....fragst das machste mal natuerlich wieder b***.
ich hab hier neben auch das dicke iptables buch in dem ich immermal nachschlagen muss. man muss nicht alles wissen...
der mensch ist faul.
also aktion. erfolgserlebnisse machen gluecklich! _________________ Forum Guidelines...How to get help
&
Forum Rules
&
RTFM/STFW
&
Its not that hard to throw some buzzwords into the WIKI search
_________________
I'm NOT rude, just offer pure facts!
_________________
TP-Link (Atheros) debrick service in EU
Hallo,
um Copy+Paste geht es hier nicht, ich beschäftige mich selbstverständlich damit und bin seit Tagen dabei HowTo´s (auch hier im Wiki) zu lesen. Aber ich kam bisher nicht weiter.
Warum meine Regeln nicht funktionieren verstehe ich nicht. Sie sind meines Erachtens vom Code plausiebel.
Dennoch greigen Sie nicht, aus diesem Grund schreibe ich in diesem Forum.
ja dann versuch doch mal das codetechnisch um zusetzen was ich vorgeschlagen hab und poste das dann hier. dann sag ich dir was falsch ist...oder auch nicht.
nur musst dir nur gewahr weden was von welchen interface kommt und wohin darf oder nciht.
das postest du mal als 1.
btw nicht dass das hier einreisst..ich hab heut meinen tag der langen answers...muss wohl was im wasser sein... _________________ Forum Guidelines...How to get help
&
Forum Rules
&
RTFM/STFW
&
Its not that hard to throw some buzzwords into the WIKI search
_________________
I'm NOT rude, just offer pure facts!
_________________
TP-Link (Atheros) debrick service in EU
Hallo,
ich hab mich hieran festgebissen, folgends habe ich noch probiert
Ich habe aus dem Kette anhängen (-A) jetz erst einmal eine Forward Rheinenfolge definiert, fand dies zu gebinn ein wenig überichtlicher (-I)
Zusätzlich habe ich für Vlan2+3+4 Standardports definiert die weitergeleitet werden sollen, ob dies zwingend notwendig ist, bin ich mir
noch nicht ganz sicher. Dies hat aber leider nicht funktioniert, dennoch kommen nicht gewollte Verbindungen zu stande z.B. Vlan0 nach VLAn2
Ermittelt "iptables -vnL FORWARD --line-numbers" habe ich die automatisch angelegten VLAN-Weiterleitungen gelöscht.
iptables -D -linenumber
lass doch mal den bloedes state muell weg. den brauch hier kein mensch.
und was soll das?
Code:
iptables -I FORWARD 10 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I FORWARD 11 -m state --state NEW -j ACCEPT
das is totaler muell das es alles von oben aufhebt....abgesehn von dem state muell...schonwieder
ausserdem ich hab dir geraten du sollst es and die interfaces binden. bei den ip musst du mehrere haben die da matchen.
configuration is needed!
lesen: _________________ Forum Guidelines...How to get help
&
Forum Rules
&
RTFM/STFW
&
Its not that hard to throw some buzzwords into the WIKI search
_________________
I'm NOT rude, just offer pure facts!
_________________
TP-Link (Atheros) debrick service in EU
Hallo,
ich hatte aus privaten Gründen keine Zeit mich zu melden.
Bisher habe ich nichts brauchbares hin bekommen, an Interfaces binden, habe ich nichts brauchbares hinbekommen. Also ich glaube ich gebe jetz auf. Irgendwie habe ich den eindruck das sich iptables auf dem ddwrt irgendwie anders verhalten als beschrieben ?
