IPTABLES - eine einfache Regel
IPTABLES - eine einfache Regel
Hallo.
Ich habe zwei Rechner per Linux Router miteinander verbunden - geht super.
Dann wollte ich zwei einfache Regeln aufstellen...
TCP Kommunikation (nur Beginn) in ein Netz unterbinden:
iptables -A FORWARD -d 192.168.10.0/255.255.255.0 -p tcp --syn -j DROP
Damit kann man keine Vebrindung in das eine Netz per TCP aufbauen, aber dennoch in die andere Richtung funken, da eine Antwort erlaubt ist.
Nun wollte ich lediglich den Port 80 freigeben:
iptables -A FORWARD -d 192.168.10.0/255.255.255.0 -p tcp --dport 80 -j ACCEPT
Aber leider komme ich nicht auf den Server im 10er Netz ran - was mach ich falsch ?
Hab ich was vergessen ?
Danke schonmal-
Ich habe zwei Rechner per Linux Router miteinander verbunden - geht super.
Dann wollte ich zwei einfache Regeln aufstellen...
TCP Kommunikation (nur Beginn) in ein Netz unterbinden:
iptables -A FORWARD -d 192.168.10.0/255.255.255.0 -p tcp --syn -j DROP
Damit kann man keine Vebrindung in das eine Netz per TCP aufbauen, aber dennoch in die andere Richtung funken, da eine Antwort erlaubt ist.
Nun wollte ich lediglich den Port 80 freigeben:
iptables -A FORWARD -d 192.168.10.0/255.255.255.0 -p tcp --dport 80 -j ACCEPT
Aber leider komme ich nicht auf den Server im 10er Netz ran - was mach ich falsch ?
Hab ich was vergessen ?
Danke schonmal-
Re: IPTABLES - eine einfache Regel
First Rule Win oder auch: wer zuerst kommt malt zuerst <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">
"Korrekt, Freundlich, Kostenfrei", wähle genau zwei. (Lutz Donnerhacke in dcsf)
Re: IPTABLES - eine einfache Regel
A Shit.
Wie kann ich denn das sonst bewerkstelligen: "Alles dicht machen! Dann nur das durchlassen, was ich erlauben will!" ?
Wie kann ich denn das sonst bewerkstelligen: "Alles dicht machen! Dann nur das durchlassen, was ich erlauben will!" ?
-
- Posts: 38
- Joined: 02. Jun 2000 14:49
Re: IPTABLES - eine einfache Regel
Ähhmm???
Die Regeln vielleicht in umgekehrter Reihenfolge definieren?
Noch ein kleiner Tipp: Wenn du schon iptables benutzt, solltest du auch die statefull-Regeln angeben. Also nicht nur nach tcp-Flags filtern, sondern nach Zuständen wie ESTABLSHED und RELATED.
Die Regeln vielleicht in umgekehrter Reihenfolge definieren?
Noch ein kleiner Tipp: Wenn du schon iptables benutzt, solltest du auch die statefull-Regeln angeben. Also nicht nur nach tcp-Flags filtern, sondern nach Zuständen wie ESTABLSHED und RELATED.
--
Wie funktioniert Routing? www.e-bits.de
Wie funktioniert Routing? www.e-bits.de
Re: IPTABLES - eine einfache Regel
OK - einiges mehr hab ich ja nun kapiert:
Masquerade für ISDN ist eingestellt und funktioniert super.
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
Nun noch Regeln angeben, mit denen man NUR HTTP über den Router nutzen kann (ISDN).
iptables -A FORWARD -i ippp0 -o ippp0 -p tcp --spport 80 --dport 80 -j accept (HTTP)
iptables -A FORWARD -i ippp0 -o ippp0 -p tcp --spport 53 --dport 53 -j accept (DNS)
iptables -A FORWARD -i ippp0 -o ippp0 -p udp --spport 53 --dport 53 -j accept (DNS)
Theoretisch sollten die Clients nun eine Adresse eingeben können und die Seiten (auf Port 80 betrachten können).
Aber leider geht das noch nicht - was ist noch falsch ? Hab ich zu wenig angegeben ? Oder gar zu viel ? Was ist an den letzten drei Regeln noch falsch oder unsicher ?
Masquerade für ISDN ist eingestellt und funktioniert super.
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
Nun noch Regeln angeben, mit denen man NUR HTTP über den Router nutzen kann (ISDN).
iptables -A FORWARD -i ippp0 -o ippp0 -p tcp --spport 80 --dport 80 -j accept (HTTP)
iptables -A FORWARD -i ippp0 -o ippp0 -p tcp --spport 53 --dport 53 -j accept (DNS)
iptables -A FORWARD -i ippp0 -o ippp0 -p udp --spport 53 --dport 53 -j accept (DNS)
Theoretisch sollten die Clients nun eine Adresse eingeben können und die Seiten (auf Port 80 betrachten können).
Aber leider geht das noch nicht - was ist noch falsch ? Hab ich zu wenig angegeben ? Oder gar zu viel ? Was ist an den letzten drei Regeln noch falsch oder unsicher ?
Re: IPTABLES - eine einfache Regel
Nimms mir nicht krumm, aber lies bitte zuerst mal etwas über TCP/IP und Firewalls [<!--no-->1<!--no-->][<!--no-->2<!--no-->].
Die Regeln die du suchst lauten:
iptables -A FORWARD -i <font color="ff0000">eth0</font><!--color--> -o ippp0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j accept (HTTP)
iptables -A FORWARD -i <font color="ff0000">eth0</font><!--color--> -o ippp0 -p tcp --dport 53 -m state --state NEW,ESTABLISHED,RELATED-j ACCEPT (DNS)
iptables -A FORWARD -i <font color="ff0000">eth0</font><!--color--> -o ippp0 -p udp --dport 53 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT (DNS)
iptables -A FORWARD -o <font color="ff0000">eth0</font><!--color--> -i ippp0 -p tcp --sport 80 -m state --state ESTABLISHED,RELATED -j ACCEPT (HTTP)
iptables -A FORWARD -o <font color="ff0000">eth0</font><!--color--> -i ippp0 -p tcp --sport 53 -m state --state ESTABLISHED,RELATED-j ACCEPT (DNS)
iptables -A FORWARD -o <font color="ff0000">eth0</font><!--color--> -i ippp0 -p udp --sport 53 -m state --state ESTABLISHED,RELATED -j ACCEPT (DNS)
[<!--no-->1<!--no-->] <a href="http://netfilter.samba.org" target="_blank"><!--auto-->http://netfilter.samba.org</a><!--auto-->
[<!--no-->2<!--no-->] Einrichten von Internet Firewalls, O´Reilly
Die Regeln die du suchst lauten:
iptables -A FORWARD -i <font color="ff0000">eth0</font><!--color--> -o ippp0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j accept (HTTP)
iptables -A FORWARD -i <font color="ff0000">eth0</font><!--color--> -o ippp0 -p tcp --dport 53 -m state --state NEW,ESTABLISHED,RELATED-j ACCEPT (DNS)
iptables -A FORWARD -i <font color="ff0000">eth0</font><!--color--> -o ippp0 -p udp --dport 53 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT (DNS)
iptables -A FORWARD -o <font color="ff0000">eth0</font><!--color--> -i ippp0 -p tcp --sport 80 -m state --state ESTABLISHED,RELATED -j ACCEPT (HTTP)
iptables -A FORWARD -o <font color="ff0000">eth0</font><!--color--> -i ippp0 -p tcp --sport 53 -m state --state ESTABLISHED,RELATED-j ACCEPT (DNS)
iptables -A FORWARD -o <font color="ff0000">eth0</font><!--color--> -i ippp0 -p udp --sport 53 -m state --state ESTABLISHED,RELATED -j ACCEPT (DNS)
[<!--no-->1<!--no-->] <a href="http://netfilter.samba.org" target="_blank"><!--auto-->http://netfilter.samba.org</a><!--auto-->
[<!--no-->2<!--no-->] Einrichten von Internet Firewalls, O´Reilly
Last edited by trinity on 11. Mar 2002 12:06, edited 1 time in total.
"Korrekt, Freundlich, Kostenfrei", wähle genau zwei. (Lutz Donnerhacke in dcsf)
Re: IPTABLES - eine einfache Regel
Danke - hatte da wohl einiges falsch verstanden <img src="http://www.pl-forum.de/UltraBoard/Images/TooHappy.gif" border="0" align="middle">
Eine andere Frage:
Wir benutzen 2 Router (Internet via ISDN) und Standleitung.
Dazu müssen wir zwei Gateways bei den Win Clients eintragen.
Problem: Ist der ISDN Router online, wird der zweite Gateway ignoriert und wir kommen darüber nicht raus.
Wie kann ich es bewerkstelligen, dem Internet Router zu sagen "Wenn Anfrage an Netz xx.xx.xx.0/24 kommt, über gateway xxx weiterschicken" ?
Eine andere Frage:
Wir benutzen 2 Router (Internet via ISDN) und Standleitung.
Dazu müssen wir zwei Gateways bei den Win Clients eintragen.
Problem: Ist der ISDN Router online, wird der zweite Gateway ignoriert und wir kommen darüber nicht raus.
Wie kann ich es bewerkstelligen, dem Internet Router zu sagen "Wenn Anfrage an Netz xx.xx.xx.0/24 kommt, über gateway xxx weiterschicken" ?
Re: IPTABLES - eine einfache Regel
Hallo!
Versuche mal folgendes:
- nur ein Gateway (Standleitungsrouter) bei den Clienten eintragen
- und bei dem Standleitungsrouter eine Route 0.0.0.0/0.0.0.0 auf den Internetrouter, damit sendet er alles was nicht über die Standleitung soll ins Internet
Bye
Mirko
Versuche mal folgendes:
- nur ein Gateway (Standleitungsrouter) bei den Clienten eintragen
- und bei dem Standleitungsrouter eine Route 0.0.0.0/0.0.0.0 auf den Internetrouter, damit sendet er alles was nicht über die Standleitung soll ins Internet
Bye
Mirko
Re: IPTABLES - eine einfache Regel
Naja ....
Das Problem ist: Auf den Standleitungsrouter haben wir keinen Zugriff. Der ist da und macht einfach nur - keine Konfiguration möglich.
Also können wir das nur über den Internetrouter erledigen.
Das Problem ist: Auf den Standleitungsrouter haben wir keinen Zugriff. Der ist da und macht einfach nur - keine Konfiguration möglich.
Also können wir das nur über den Internetrouter erledigen.
Re: IPTABLES - eine einfache Regel
dann vielleicht mal anders herum probieren ...
dem internetrouter die entsprechende route auf den standleitungsrouter geben
dem internetrouter die entsprechende route auf den standleitungsrouter geben
Re: IPTABLES - eine einfache Regel
anmerkung
wichtig nur einen gateway auf den clienten vergeben
und mit traceroute schauen wo die pakete langlaufen und hängenbleiben
bye
wichtig nur einen gateway auf den clienten vergeben
und mit traceroute schauen wo die pakete langlaufen und hängenbleiben
bye
Re: IPTABLES - eine einfache Regel
hatte schon an sowas gedacht:
iptables -t nat -A PREROUTING -d "ip hinter standleitung" -j DNAT --to "standleitungs-router-ip" ????
iptables -t nat -A PREROUTING -d "ip hinter standleitung" -j DNAT --to "standleitungs-router-ip" ????
Last edited by tweb_de on 11. Mar 2002 17:04, edited 1 time in total.
Re: IPTABLES - eine einfache Regel
da ich nicht genau weiß was du für einen router hast, kann ich da keinen tip für den genauen syntax geben.
- Stormbringer
- Posts: 1570
- Joined: 11. Jan 2001 11:01
- Location: Ruhrgebiet
Re: IPTABLES - eine einfache Regel
Verstehe ich das richtig so:
Verbindung 1 = Interneteinwahl via ISDN
Verbindung 2 = Standleitung zu ??? anderen Niederlassungen?
Falls dem so ist, kannst Du ja die betreffenden Netzwerke in die /etc/route.conf eintragen, und somit hast Du Deinen dedizierten Router für alle Verbindungen.
Falles es nicht so ist, verstehe ich die doppelte Anbindung nicht ... <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">
Gruß
Verbindung 1 = Interneteinwahl via ISDN
Verbindung 2 = Standleitung zu ??? anderen Niederlassungen?
Falls dem so ist, kannst Du ja die betreffenden Netzwerke in die /etc/route.conf eintragen, und somit hast Du Deinen dedizierten Router für alle Verbindungen.
Falles es nicht so ist, verstehe ich die doppelte Anbindung nicht ... <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">
Gruß
Continuum Hierarchy Supervisor:
You have already been assimilated.
(Rechtschreibungsreformverweigerer!)
You have already been assimilated.
(Rechtschreibungsreformverweigerer!)
Re: IPTABLES - eine einfache Regel
Und ich verstehe mittlerweile so einiges nicht mehr <img src="http://www.pl-forum.de/UltraBoard/Images/Sad.gif" border="0" align="middle"> Puh
Beide Router sind physikalisch voneinander getrennt - weiss nicht mal, wo der zweite überhaupt steht.
Ich möchte nun alle Anfragen an den ISDN ROuter stellen und ihm sagen "Wenn eine Anfragge in dieses Netz kommt - leite einfach auf den anderen Router weiter" und hol die Antwort rein.
Aber scheinbar klappt das nicht.
Beide Router sind physikalisch voneinander getrennt - weiss nicht mal, wo der zweite überhaupt steht.
Ich möchte nun alle Anfragen an den ISDN ROuter stellen und ihm sagen "Wenn eine Anfragge in dieses Netz kommt - leite einfach auf den anderen Router weiter" und hol die Antwort rein.
Aber scheinbar klappt das nicht.