View previous topic :: View next topic |
Author |
Message |
l3u Advocate
Joined: 26 Jan 2005 Posts: 2545 Location: Konradsreuth (Germany)
|
Posted: Mon Oct 07, 2013 5:36 pm Post subject: [gelöst] Hilfe bei iptables |
|
|
Hallo :-)
Ich wäre sehr dankbar für Hilfe beim Erstellen einiger iptables-Regeln (vermutlich kein Problem, aber ich hab damit bisher noch nie was gemacht …). Ich muss die in einem laufenden System einrichten, und zwar am besten per Remote-Zugriff, von daher wäre es blöd, wenn ich mich selbst aussperre und erst hinfahren muss, um die iptables-Regeln wieder zu löschen.
Folgende Situation:
Alle Rechner haben feste IP-Adressen und sollen im LAN untereinander uneingeschränkt kommunizieren dürfen. Das sollte ja unabhängig von irgendwelchen Firewall-Einstellungen gehen, weil ja nur Anfragen nach außen über den Router laufen (oder?!).
Keiner der Rechner soll mit dem Internet kommunizieren dürfen, außer einem. Der Soll uneingeschränkten Internetzugriff haben.
Zu einem der anderen Rechner (die keinen Internetzugriff haben) soll dann noch Port 1194 UDP (zwecks OpenVPN-Zugriff) durchgeroutet werden (aber sonst nichts).
Das war’s … wie gesagt, für jede Hilfe und jedes Rumprobieren, was ich nicht machen muss, bin ich sehr dankbar!
Last edited by l3u on Wed Oct 23, 2013 10:11 am; edited 2 times in total |
|
Back to top |
|
|
py-ro Veteran
Joined: 24 Sep 2002 Posts: 1734 Location: Velbert
|
Posted: Mon Oct 07, 2013 5:56 pm Post subject: |
|
|
Haben die Rechner im LAN öffentliche IP-Adressen oder private?
To NAT or not to NAT? |
|
Back to top |
|
|
l3u Advocate
Joined: 26 Jan 2005 Posts: 2545 Location: Konradsreuth (Germany)
|
Posted: Mon Oct 07, 2013 6:04 pm Post subject: |
|
|
NAT macht der Router eh – eine Fritz-Box, der noch per Freetz iptables beigebracht werden muss. Es geht also nur darum, die bisher mögliche Kommunikation einzuschränken. Bisher hängt jeder Rechner über den Router am Internet und der OpenVPN-Port wird auf den entsprechenden Rechner durchgeroutet.
So wie ich das verstanden habe, kommt ja erst die AVM-Firewall (die NAT macht und Ports routet) und dann iptables, und beide funktionieren unabhängig aber nacheinander.
Die IP-Adressen sind alle privat, in einem 192.168.10.0/24-Netz. |
|
Back to top |
|
|
l3u Advocate
Joined: 26 Jan 2005 Posts: 2545 Location: Konradsreuth (Germany)
|
Posted: Wed Oct 23, 2013 10:15 am Post subject: |
|
|
Um das hier nicht ungelöst stehen zu lassen: folgende Regeln machen das, was ich wollte:
Code: | iptables -A FORWARD -o dsl -p udp --sport 1194 -s 192.168.10.99 -j ACCEPT
iptables -A FORWARD -o dsl -s 192.168.10.10 -j ACCEPT
iptables -A FORWARD -o dsl -j DROP |
Die erste erlaubt die OpenVPN-Kommunikation mit 192.168.10.99
Die zweite erlaubt alles von 192.168.10.10 aus (so dass nur die Fritz-Box-eigene Firewall gilt)
Die dritte verbietet alles andere.
Lieber wäre mit noch ein REJECT statt dem DROP gewesen, aber leider wollte die alte Fritz-Box (WLAN 3030) das Freetz-Image mit ipt_REJECT.ko nicht haben von wegen falsche Prüfsumme des Kernels oder so. Klappt ja aber auch so, man bekommt halt nen Timeout statt einem „Destination unreachable“. Kleiner Schönheitsfehler, aber was soll’s ;-) |
|
Back to top |
|
|
|
|
You cannot post new topics in this forum You cannot reply to topics in this forum You cannot edit your posts in this forum You cannot delete your posts in this forum You cannot vote in polls in this forum
|
|