Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
[gelöst] Hilfe bei iptables
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

 
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) Diskussionsforum
View previous topic :: View next topic  
Author Message
l3u
Advocate
Advocate


Joined: 26 Jan 2005
Posts: 2086
Location: Konradsreuth (Germany)

PostPosted: Mon Oct 07, 2013 5:36 pm    Post subject: [gelöst] Hilfe bei iptables Reply with quote

Hallo :-)

Ich wäre sehr dankbar für Hilfe beim Erstellen einiger iptables-Regeln (vermutlich kein Problem, aber ich hab damit bisher noch nie was gemacht …). Ich muss die in einem laufenden System einrichten, und zwar am besten per Remote-Zugriff, von daher wäre es blöd, wenn ich mich selbst aussperre und erst hinfahren muss, um die iptables-Regeln wieder zu löschen.

Folgende Situation:

Alle Rechner haben feste IP-Adressen und sollen im LAN untereinander uneingeschränkt kommunizieren dürfen. Das sollte ja unabhängig von irgendwelchen Firewall-Einstellungen gehen, weil ja nur Anfragen nach außen über den Router laufen (oder?!).

Keiner der Rechner soll mit dem Internet kommunizieren dürfen, außer einem. Der Soll uneingeschränkten Internetzugriff haben.

Zu einem der anderen Rechner (die keinen Internetzugriff haben) soll dann noch Port 1194 UDP (zwecks OpenVPN-Zugriff) durchgeroutet werden (aber sonst nichts).

Das war’s … wie gesagt, für jede Hilfe und jedes Rumprobieren, was ich nicht machen muss, bin ich sehr dankbar!


Last edited by l3u on Wed Oct 23, 2013 10:11 am; edited 2 times in total
Back to top
View user's profile Send private message
py-ro
Veteran
Veteran


Joined: 24 Sep 2002
Posts: 1478
Location: St. Wendel

PostPosted: Mon Oct 07, 2013 5:56 pm    Post subject: Reply with quote

Haben die Rechner im LAN öffentliche IP-Adressen oder private?

To NAT or not to NAT?
Back to top
View user's profile Send private message
l3u
Advocate
Advocate


Joined: 26 Jan 2005
Posts: 2086
Location: Konradsreuth (Germany)

PostPosted: Mon Oct 07, 2013 6:04 pm    Post subject: Reply with quote

NAT macht der Router eh – eine Fritz-Box, der noch per Freetz iptables beigebracht werden muss. Es geht also nur darum, die bisher mögliche Kommunikation einzuschränken. Bisher hängt jeder Rechner über den Router am Internet und der OpenVPN-Port wird auf den entsprechenden Rechner durchgeroutet.

So wie ich das verstanden habe, kommt ja erst die AVM-Firewall (die NAT macht und Ports routet) und dann iptables, und beide funktionieren unabhängig aber nacheinander.

Die IP-Adressen sind alle privat, in einem 192.168.10.0/24-Netz.
Back to top
View user's profile Send private message
l3u
Advocate
Advocate


Joined: 26 Jan 2005
Posts: 2086
Location: Konradsreuth (Germany)

PostPosted: Wed Oct 23, 2013 10:15 am    Post subject: Reply with quote

Um das hier nicht ungelöst stehen zu lassen: folgende Regeln machen das, was ich wollte:
Code:
iptables -A FORWARD -o dsl -p udp --sport 1194 -s 192.168.10.99 -j ACCEPT
iptables -A FORWARD -o dsl -s 192.168.10.10 -j ACCEPT
iptables -A FORWARD -o dsl -j DROP

Die erste erlaubt die OpenVPN-Kommunikation mit 192.168.10.99
Die zweite erlaubt alles von 192.168.10.10 aus (so dass nur die Fritz-Box-eigene Firewall gilt)
Die dritte verbietet alles andere.

Lieber wäre mit noch ein REJECT statt dem DROP gewesen, aber leider wollte die alte Fritz-Box (WLAN 3030) das Freetz-Image mit ipt_REJECT.ko nicht haben von wegen falsche Prüfsumme des Kernels oder so. Klappt ja aber auch so, man bekommt halt nen Timeout statt einem „Destination unreachable“. Kleiner Schönheitsfehler, aber was soll’s ;-)
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) Diskussionsforum All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum