IP Tables Hilfestellung

Post new topic   Reply to topic    DD-WRT Forum Forum Index -> Allgemeine Fragen
Author Message
geniuss
DD-WRT User


Joined: 12 Jun 2009
Posts: 61

PostPosted: Fri Jun 15, 2012 14:50    Post subject: IP Tables Hilfestellung Reply with quote
Hallo zusammen,
vielleicht kann mir jemand mit den iptables helfen. Ich habe hier nich nicht viel mit gemacht, aber bereits im Forum Hilfe erhlaten. Ich hoffe ich kann mein Problem verständlich schildern.

Daten:
Routernetz Vlan0/br0: 192.168.70.0
VLan2: 192.168.72.0
Vlan3: 10.10.10.0
vlan4: 192.168.69.0


Aktuell hat ein Rechner aus dem Netz 192.168.70.100(Vlan0) Zugriff auf das gesamte
Netz 192.168.69.0 (Vlan4), aber nicht umgekehrt. Alle anderen Netze haben unter einander kein Zugriff. Nun möchte ich zusätzlich realisieren,
das alle Netze auf eine IP 10.10.10.1 (Vlan3) Zugriff haben.

Ich habe folgendes probiert:
Analog zu dieser Regel, habe ich die Foreward_10+11 dazu genommen.
So bekomme ich von der IP 192.168.70.100 Zugriff auf 10.10.10.1 aber wie gewollt nicht umgekhert.

1.
----
iptables -I FORWARD 1 -i vlan2 -o vlan3 -j DROP
iptables -I FORWARD 2 -i vlan2 -o vlan4 -j DROP
iptables -I FORWARD 3 -i vlan3 -o vlan2 -j DROP
iptables -I FORWARD 4 -i vlan3 -o vlan4 -j DROP
iptables -I FORWARD 5 -i vlan4 -o vlan2 -j DROP
iptables -I FORWARD 6 -i vlan4 -o vlan3 -j DROP
iptables -I FORWARD 7 -i vlan2 -o br0 -j DROP
iptables -I FORWARD 8 -s 192.168.70.100 -d 192.168.69.0/24 -j ACCEPT
iptables -I FORWARD 9 -s 192.168.70.0/24 -d 192.168.69.0/24 -j DROP

iptables -I FORWARD 10 -s 192.168.70.100 -d 10.10.10.1/24 -j ACCEPT
iptables -I FORWARD 11 -s 192.168.70.0/24 -d 10.10.10.0/24 -j DROP
----


Ich möchte dies aber gern aus dem gesamten 70.x Netz nicht von einer IP wie oben zugreifen.


Probiert:
2.
----
iptables -I FORWARD 1 -i vlan2 -o vlan3 -j DROP
iptables -I FORWARD 2 -i vlan2 -o vlan4 -j DROP
iptables -I FORWARD 3 -i vlan3 -o vlan2 -j DROP
iptables -I FORWARD 4 -i vlan3 -o vlan4 -j DROP
iptables -I FORWARD 5 -i vlan4 -o vlan2 -j DROP
iptables -I FORWARD 6 -i vlan4 -o vlan3 -j DROP
iptables -I FORWARD 7 -i vlan2 -o br0 -j DROP

iptables -I FORWARD 8 -s 192.168.70.100 -d 192.168.69.0/24 -j ACCEPT
iptables -I FORWARD 9 -s 192.168.70.0/24 -d 192.168.69.0/24 -j DROP

iptables -I FORWARD 10 -s 192.168.70.0/24 -d 10.10.10.0/24 -j ACCEPT

**bis hier her funktioniert der Zugriff auf das Netz
10.10.10./24, ABER auch der Weg zurück, wie kann ich das verhindern ?

iptables -I FORWARD 11 -s 10.10.10.0/24 -d 192.168.70.0/24 -j DROP

**funktioniert nicht, dann komme ich auch nicht mehr auf das 10.x Netz
----


Kann mir hier jemand kurzfristig helfen ?


LG
G
Sponsor
Sash
DD-WRT Guru


Joined: 20 Sep 2006
Posts: 17485
Location: Hesse/Germany

PostPosted: Sat Jun 16, 2012 11:27    Post subject: Reply with quote
also ich hab nur so ca verstanden was heir gemacht werden soll aber eins seh ich sofort... viel zu kopliziert und zu umstaendlich.

nutze dass iptables beim durchlaufen die 1. rule ausfueht die auf das aktuelle paket zutrifft. da kannst du bestimmt 50% der rules dumpen.

_________________
Forum Guidelines...How to get help
&
Forum Rules
&
RTFM/STFW
&
Throw some buzzwords into the WIKI search Exclamation
_________________
I'm NOT rude, just offer pure facts!
_________________
Atheros (TP-Link & Clones, etc ) debrick service in EU
_________________
Guide on HowTo be Safe, Secure and Protect Your Online Anonymity!
geniuss
DD-WRT User


Joined: 12 Jun 2009
Posts: 61

PostPosted: Sun Jun 17, 2012 8:50    Post subject: Reply with quote
Hallo,
ich versuch das noch mal kurz einfach zu erklären, denn ich komme echt nicht mehr weiter.

Vlan0: 192.168.70.0
Vlan2: 192.168.72.0
Vlan3: 10.10.10.0
Vlan4: 192.168.69.0

Alle Netze sollen untereinander keinen Zugriff haben, außer ein paar Ausnahmen.

1. IP-192.168.70.100 darf auf gesamtes Vlan4, Vlan4 aber nicht zurück
2. Alle Netze dürfen auf die IP im Vlan3 10.10.10.6, sonst auf keine, aber Vlan4 darf nirgends hin zurück.

eigentlich wars dass schon, aber ich habe kein Blick mehr wie das funktionieren soll. Kannst Du mir hierbei Hilfestellung geben ?

Grüße aus Usedom
geniuss
DD-WRT User


Joined: 12 Jun 2009
Posts: 61

PostPosted: Tue Jun 26, 2012 17:22    Post subject: Reply with quote
Hallo nochmal,

hab das jetzt versucht so zu Lösen, allerdings führt das nicht zum Erfolg.


# Für "IP-192.168.70.100 darf auf gesamtes Vlan4, Vlan4 aber nicht zurück"
iptables -A FORWARD -s 192.168.70.100/32 -d 192.168.0.0/24 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -d 192.168.70.100/32 -s 192.168.0.0/24 -m state --state RELATED,ESTABLISHED -j ACCEPT

# Für "Alle Netze dürfen auf die IP im Vlan3 10.10.10.6"
iptables -A FORWARD -d 10.10.10.6/32 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 10.10.10.6/32 -m state --state RELATED,ESTABLISHED -j ACCEPT

# Für "Alle Netze sollen untereinander keinen Zugriff haben"
iptables -P FORWARD DROP

Allerdings habe ich die SPI Firewall im Router deaktiviert, da auf dem Router noch ein Openvpn Server läuft, kann das hiermit zusammen hängen ?
Sash
DD-WRT Guru


Joined: 20 Sep 2006
Posts: 17485
Location: Hesse/Germany

PostPosted: Tue Jun 26, 2012 18:31    Post subject: Reply with quote
geniuss wrote:

1. IP-192.168.70.100 darf auf gesamtes Vlan4, Vlan4 aber nicht zurück

mach nat
Quote:

2. Alle Netze dürfen auf die IP im Vlan3 10.10.10.6, sonst auf keine, aber Vlan4 darf nirgends hin zurück.


1. erlaube FORWARD alle auf diese ip
2. DROP sonstige

so, mit 3 regeln alles erschlagen

_________________
Forum Guidelines...How to get help
&
Forum Rules
&
RTFM/STFW
&
Throw some buzzwords into the WIKI search Exclamation
_________________
I'm NOT rude, just offer pure facts!
_________________
Atheros (TP-Link & Clones, etc ) debrick service in EU
_________________
Guide on HowTo be Safe, Secure and Protect Your Online Anonymity!
geniuss
DD-WRT User


Joined: 12 Jun 2009
Posts: 61

PostPosted: Tue Jun 26, 2012 19:43    Post subject: Reply with quote
Hallo,
da ich mit iptables mich gerade erst beschäftige, wäre ich um ein weinig mehr Hilfe dankbar ,) Vielleicht wärst Du so freundlich ?




Ein Router ist mir dabei gestern schon weggeraucht.
Sash
DD-WRT Guru


Joined: 20 Sep 2006
Posts: 17485
Location: Hesse/Germany

PostPosted: Thu Jun 28, 2012 17:38    Post subject: Reply with quote
hilfe....we sagt denn das du verstehst was ich schreibe. das is esenziell bei firewalling, da es hier um sicherheit geht.
also musst du dich ersteinmal mit der grundsaetzlichen funktion auseinandersetzten.

lesetipps:
unseren wiki artikel.
google: man iptables
beim gurgel gibts bestimmt acuh noch anderes gutes lesenswertes.

wenn man auf dem selben level redet helfe ich gerne. ansnsten isses dummes copy n paste und das ist nur arbeit fuer mich und du lenst nix....fragst das machste mal natuerlich wieder b***.
ich hab hier neben auch das dicke iptables buch in dem ich immermal nachschlagen muss. man muss nicht alles wissen...

der mensch ist faul.

also aktion. erfolgserlebnisse machen gluecklich!

_________________
Forum Guidelines...How to get help
&
Forum Rules
&
RTFM/STFW
&
Throw some buzzwords into the WIKI search Exclamation
_________________
I'm NOT rude, just offer pure facts!
_________________
Atheros (TP-Link & Clones, etc ) debrick service in EU
_________________
Guide on HowTo be Safe, Secure and Protect Your Online Anonymity!
geniuss
DD-WRT User


Joined: 12 Jun 2009
Posts: 61

PostPosted: Thu Jun 28, 2012 19:19    Post subject: Reply with quote
Hallo,
um Copy+Paste geht es hier nicht, ich beschäftige mich selbstverständlich damit und bin seit Tagen dabei HowTo´s (auch hier im Wiki) zu lesen. Aber ich kam bisher nicht weiter.
Warum meine Regeln nicht funktionieren verstehe ich nicht. Sie sind meines Erachtens vom Code plausiebel.
Dennoch greigen Sie nicht, aus diesem Grund schreibe ich in diesem Forum.

Mfg
Sash
DD-WRT Guru


Joined: 20 Sep 2006
Posts: 17485
Location: Hesse/Germany

PostPosted: Thu Jun 28, 2012 21:35    Post subject: Reply with quote
ja dann versuch doch mal das codetechnisch um zusetzen was ich vorgeschlagen hab und poste das dann hier. dann sag ich dir was falsch ist...oder auch nicht.

nur musst dir nur gewahr weden was von welchen interface kommt und wohin darf oder nciht.
das postest du mal als 1.

btw nicht dass das hier einreisst..ich hab heut meinen tag der langen answers...muss wohl was im wasser sein...

_________________
Forum Guidelines...How to get help
&
Forum Rules
&
RTFM/STFW
&
Throw some buzzwords into the WIKI search Exclamation
_________________
I'm NOT rude, just offer pure facts!
_________________
Atheros (TP-Link & Clones, etc ) debrick service in EU
_________________
Guide on HowTo be Safe, Secure and Protect Your Online Anonymity!
geniuss
DD-WRT User


Joined: 12 Jun 2009
Posts: 61

PostPosted: Sun Jul 01, 2012 11:20    Post subject: Reply with quote
Hallo,
ich hab mich hieran festgebissen, folgends habe ich noch probiert

Ich habe aus dem Kette anhängen (-A) jetz erst einmal eine Forward Rheinenfolge definiert, fand dies zu gebinn ein wenig überichtlicher (-I)
Zusätzlich habe ich für Vlan2+3+4 Standardports definiert die weitergeleitet werden sollen, ob dies zwingend notwendig ist, bin ich mir
noch nicht ganz sicher. Dies hat aber leider nicht funktioniert, dennoch kommen nicht gewollte Verbindungen zu stande z.B. Vlan0 nach VLAn2

Ermittelt "iptables -vnL FORWARD --line-numbers" habe ich die automatisch angelegten VLAN-Weiterleitungen gelöscht.
iptables -D -linenumber

3 0 0 ACCEPT 0 -- vlan2 * 0.0.0.0/0 0.0.0.0/0
11 0 0 ACCEPT 0 -- vlan3 * 0.0.0.0/0 0.0.0.0/0
22 0 0 ACCEPT 0 -- vlan4 * 0.0.0.0/0 0.0.0.0/0


-----
# Fuer IP-192.168.70.100
iptables -I FORWARD 1 -s 192.168.70.100/32 -d 192.168.69.0/24 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -I FORWARD 2 -d 192.168.70.100/32 -s 192.168.69.0/24 -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -I FORWARD 3 -s 192.168.70.100/32 -d 10.10.10.190/32 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -I FORWARD 4 -d 192.168.70.100/32 -s 10.10.10.190/32 -m state --state RELATED,ESTABLISHED -j ACCEPT

# Fuer - Alle Netze dürfen auf die IP im Vlan3 10.10.10.6
iptables -I FORWARD 5 -d 10.10.10.6/32 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -I FORWARD 6 -s 10.10.10.6/32 -m state --state RELATED,ESTABLISHED -j ACCEPT


#Internet fuer vlan2+3+4
iptables -I FORWARD 7 -i vlan2 -p tcp -m multiport --dports 25,110,21,80,443 -j ACCEPT
iptables -I FORWARD 8 -i vlan3 -p tcp -m multiport --dports 25,110,21,80,443 -j ACCEPT
iptables -I FORWARD 9 -i vlan4 -p tcp -m multiport --dports 25,110,21,80,443 -j ACCEPT
iptables -I FORWARD 10 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I FORWARD 11 -m state --state NEW -j ACCEPT

# Fuer Sonstige Netze sollen untereinander keinen Zugriff haben
iptables -P FORWARD DROP
-----


ERGEBNISS:
Chain FORWARD (policy DROP 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
1 116 6575 ACCEPT 0 -- * * 192.168.70.100 192.168.69.0/24 state NEW,RELATED,ESTABLISHED
2 106 13210 ACCEPT 0 -- * * 192.168.69.0/24 192.168.70.100 state RELATED,ESTABLISHED
3 0 0 ACCEPT 0 -- * * 192.168.70.100 10.10.10.190 state NEW,RELATED,ESTABLISHED
4 0 0 ACCEPT 0 -- * * 10.10.10.190 192.168.70.100 state RELATED,ESTABLISHED
5 1 60 ACCEPT 0 -- * * 0.0.0.0/0 10.10.10.6 state NEW,RELATED,ESTABLISHED
6 1 60 ACCEPT 0 -- * * 10.10.10.6 0.0.0.0/0 state RELATED,ESTABLISHED
7 0 0 ACCEPT tcp -- vlan2 * 0.0.0.0/0 0.0.0.0/0 multiport dports 25,110,21,80,443
8 0 0 ACCEPT tcp -- vlan3 * 0.0.0.0/0 0.0.0.0/0 multiport dports 25,110,21,80,443
9 229 12448 ACCEPT tcp -- vlan4 * 0.0.0.0/0 0.0.0.0/0 multiport dports 25,110,21,80,443
10 236 56473 ACCEPT 0 -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
11 45 8151 ACCEPT 0 -- * * 0.0.0.0/0 0.0.0.0/0 state NEW
12 0 0 ACCEPT 0 -- br0 br0 0.0.0.0/0 0.0.0.0/0
13 0 0 TCPMSS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU
14 0 0 lan2wan 0 -- * * 0.0.0.0/0 0.0.0.0/0
15 0 0 ACCEPT 0 -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
16 0 0 ACCEPT udp -- * * 0.0.0.0/0 192.168.70.100 udp dpt:6112
17 0 0 ACCEPT udp -- * * 0.0.0.0/0 192.168.70.100 udp dpt:30260
18 0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.70.100 tcp dpt:5479
19 0 0 ACCEPT udp -- * * 0.0.0.0/0 192.168.70.100 udp dpt:5479
20 0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.70.100 tcp dpt:5489
21 0 0 ACCEPT udp -- * * 0.0.0.0/0 192.168.70.100 udp dpt:5489
22 0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.70.100 tcp dpt:9103
23 0 0 ACCEPT udp -- * * 0.0.0.0/0 192.168.70.100 udp dpt:9103
24 0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.70.100 tcp dpt:9205
25 0 0 ACCEPT udp -- * * 0.0.0.0/0 192.168.70.100 udp dpt:9205
26 0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.70.100 tcp dpt:9103
27 0 0 ACCEPT udp -- * * 0.0.0.0/0 192.168.70.100 udp dpt:9103
28 0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.70.100 tcp dpt:3004
29 0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.70.100 tcp dpt:52999
30 0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.69.1 tcp dpt:3389
31 0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.69.3 tcp dpt:80
32 0 0 ACCEPT tcp -- * * 0.0.0.0/0 10.10.10.1 tcp dpt:3389
33 0 0 ACCEPT udp -- * * 0.0.0.0/0 192.168.70.100 udp dpts:48000:48100
34 0 0 TRIGGER 0 -- ppp0 br0 0.0.0.0/0 0.0.0.0/0 TRIGGER type:in match:0 relate:0
35 0 0 trigger_out 0 -- br0 * 0.0.0.0/0 0.0.0.0/0
36 0 0 ACCEPT 0 -- br0 * 0.0.0.0/0 0.0.0.0/0 state NEW
root@cw-router:~#
Sash
DD-WRT Guru


Joined: 20 Sep 2006
Posts: 17485
Location: Hesse/Germany

PostPosted: Tue Jul 03, 2012 17:51    Post subject: Reply with quote
lass doch mal den bloedes state muell weg. den brauch hier kein mensch.

und was soll das?

Code:
iptables -I FORWARD 10 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I FORWARD 11 -m state --state NEW -j ACCEPT


das is totaler muell das es alles von oben aufhebt....abgesehn von dem state muell...schonwieder


ausserdem ich hab dir geraten du sollst es and die interfaces binden. bei den ip musst du mehrere haben die da matchen.

configuration is needed!


lesen:

_________________
Forum Guidelines...How to get help
&
Forum Rules
&
RTFM/STFW
&
Throw some buzzwords into the WIKI search Exclamation
_________________
I'm NOT rude, just offer pure facts!
_________________
Atheros (TP-Link & Clones, etc ) debrick service in EU
_________________
Guide on HowTo be Safe, Secure and Protect Your Online Anonymity!
geniuss
DD-WRT User


Joined: 12 Jun 2009
Posts: 61

PostPosted: Wed Jul 25, 2012 13:21    Post subject: Reply with quote
Hallo,
ich hatte aus privaten Gründen keine Zeit mich zu melden.
Bisher habe ich nichts brauchbares hin bekommen, an Interfaces binden, habe ich nichts brauchbares hinbekommen. Also ich glaube ich gebe jetz auf. Irgendwie habe ich den eindruck das sich iptables auf dem ddwrt irgendwie anders verhalten als beschrieben ?
Display posts from previous:    Page 1 of 1
Post new topic   Reply to topic    DD-WRT Forum Forum Index -> Allgemeine Fragen All times are GMT

Navigation

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
You can attach files in this forum
You can download files in this forum