IPTABLES - eine einfache Regel

Message
Author
tweb_de
Posts: 46
Joined: 14. Feb 2002 11:30
Location: Berlin
Contact:

IPTABLES - eine einfache Regel

#1 Post by tweb_de »

Hallo.
Ich habe zwei Rechner per Linux Router miteinander verbunden - geht super.
Dann wollte ich zwei einfache Regeln aufstellen...
TCP Kommunikation (nur Beginn) in ein Netz unterbinden:
iptables -A FORWARD -d 192.168.10.0/255.255.255.0 -p tcp --syn -j DROP
Damit kann man keine Vebrindung in das eine Netz per TCP aufbauen, aber dennoch in die andere Richtung funken, da eine Antwort erlaubt ist.
Nun wollte ich lediglich den Port 80 freigeben:
iptables -A FORWARD -d 192.168.10.0/255.255.255.0 -p tcp --dport 80 -j ACCEPT

Aber leider komme ich nicht auf den Server im 10er Netz ran - was mach ich falsch ?
Hab ich was vergessen ?

Danke schonmal-

trinity
Posts: 821
Joined: 12. Oct 2001 10:04

Re: IPTABLES - eine einfache Regel

#2 Post by trinity »

First Rule Win oder auch: wer zuerst kommt malt zuerst <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">
"Korrekt, Freundlich, Kostenfrei", wähle genau zwei. (Lutz Donnerhacke in dcsf)

tweb_de
Posts: 46
Joined: 14. Feb 2002 11:30
Location: Berlin
Contact:

Re: IPTABLES - eine einfache Regel

#3 Post by tweb_de »

A Shit.
Wie kann ich denn das sonst bewerkstelligen: "Alles dicht machen! Dann nur das durchlassen, was ich erlauben will!" ?

slartibartfas
Posts: 38
Joined: 02. Jun 2000 14:49

Re: IPTABLES - eine einfache Regel

#4 Post by slartibartfas »

Ähhmm???
Die Regeln vielleicht in umgekehrter Reihenfolge definieren?
Noch ein kleiner Tipp: Wenn du schon iptables benutzt, solltest du auch die statefull-Regeln angeben. Also nicht nur nach tcp-Flags filtern, sondern nach Zuständen wie ESTABLSHED und RELATED.
--
Wie funktioniert Routing? www.e-bits.de

tweb_de
Posts: 46
Joined: 14. Feb 2002 11:30
Location: Berlin
Contact:

Re: IPTABLES - eine einfache Regel

#5 Post by tweb_de »

OK - einiges mehr hab ich ja nun kapiert:

Masquerade für ISDN ist eingestellt und funktioniert super.

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

Nun noch Regeln angeben, mit denen man NUR HTTP über den Router nutzen kann (ISDN).

iptables -A FORWARD -i ippp0 -o ippp0 -p tcp --spport 80 --dport 80 -j accept (HTTP)
iptables -A FORWARD -i ippp0 -o ippp0 -p tcp --spport 53 --dport 53 -j accept (DNS)
iptables -A FORWARD -i ippp0 -o ippp0 -p udp --spport 53 --dport 53 -j accept (DNS)

Theoretisch sollten die Clients nun eine Adresse eingeben können und die Seiten (auf Port 80 betrachten können).
Aber leider geht das noch nicht - was ist noch falsch ? Hab ich zu wenig angegeben ? Oder gar zu viel ? Was ist an den letzten drei Regeln noch falsch oder unsicher ?

trinity
Posts: 821
Joined: 12. Oct 2001 10:04

Re: IPTABLES - eine einfache Regel

#6 Post by trinity »

Nimms mir nicht krumm, aber lies bitte zuerst mal etwas über TCP/IP und Firewalls [<!--no-->1<!--no-->][<!--no-->2<!--no-->].
Die Regeln die du suchst lauten:


iptables -A FORWARD -i <font color="ff0000">eth0</font><!--color--> -o ippp0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j accept (HTTP)
iptables -A FORWARD -i <font color="ff0000">eth0</font><!--color--> -o ippp0 -p tcp --dport 53 -m state --state NEW,ESTABLISHED,RELATED-j ACCEPT (DNS)
iptables -A FORWARD -i <font color="ff0000">eth0</font><!--color--> -o ippp0 -p udp --dport 53 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT (DNS)
iptables -A FORWARD -o <font color="ff0000">eth0</font><!--color--> -i ippp0 -p tcp --sport 80 -m state --state ESTABLISHED,RELATED -j ACCEPT (HTTP)
iptables -A FORWARD -o <font color="ff0000">eth0</font><!--color--> -i ippp0 -p tcp --sport 53 -m state --state ESTABLISHED,RELATED-j ACCEPT (DNS)
iptables -A FORWARD -o <font color="ff0000">eth0</font><!--color--> -i ippp0 -p udp --sport 53 -m state --state ESTABLISHED,RELATED -j ACCEPT (DNS)

[<!--no-->1<!--no-->] <a href="http://netfilter.samba.org" target="_blank"><!--auto-->http://netfilter.samba.org</a><!--auto-->
[<!--no-->2<!--no-->] Einrichten von Internet Firewalls, O´Reilly
Last edited by trinity on 11. Mar 2002 12:06, edited 1 time in total.
"Korrekt, Freundlich, Kostenfrei", wähle genau zwei. (Lutz Donnerhacke in dcsf)

tweb_de
Posts: 46
Joined: 14. Feb 2002 11:30
Location: Berlin
Contact:

Re: IPTABLES - eine einfache Regel

#7 Post by tweb_de »

Danke - hatte da wohl einiges falsch verstanden <img src="http://www.pl-forum.de/UltraBoard/Images/TooHappy.gif" border="0" align="middle">

Eine andere Frage:
Wir benutzen 2 Router (Internet via ISDN) und Standleitung.
Dazu müssen wir zwei Gateways bei den Win Clients eintragen.

Problem: Ist der ISDN Router online, wird der zweite Gateway ignoriert und wir kommen darüber nicht raus.

Wie kann ich es bewerkstelligen, dem Internet Router zu sagen "Wenn Anfrage an Netz xx.xx.xx.0/24 kommt, über gateway xxx weiterschicken" ?

Mirko

Re: IPTABLES - eine einfache Regel

#8 Post by Mirko »

Hallo!

Versuche mal folgendes:

- nur ein Gateway (Standleitungsrouter) bei den Clienten eintragen
- und bei dem Standleitungsrouter eine Route 0.0.0.0/0.0.0.0 auf den Internetrouter, damit sendet er alles was nicht über die Standleitung soll ins Internet

Bye

Mirko

tweb_de
Posts: 46
Joined: 14. Feb 2002 11:30
Location: Berlin
Contact:

Re: IPTABLES - eine einfache Regel

#9 Post by tweb_de »

Naja ....
Das Problem ist: Auf den Standleitungsrouter haben wir keinen Zugriff. Der ist da und macht einfach nur - keine Konfiguration möglich.
Also können wir das nur über den Internetrouter erledigen.

Mirko

Re: IPTABLES - eine einfache Regel

#10 Post by Mirko »

dann vielleicht mal anders herum probieren ...

dem internetrouter die entsprechende route auf den standleitungsrouter geben

Mirko

Re: IPTABLES - eine einfache Regel

#11 Post by Mirko »

anmerkung

wichtig nur einen gateway auf den clienten vergeben

und mit traceroute schauen wo die pakete langlaufen und hängenbleiben

bye

tweb_de
Posts: 46
Joined: 14. Feb 2002 11:30
Location: Berlin
Contact:

Re: IPTABLES - eine einfache Regel

#12 Post by tweb_de »

hatte schon an sowas gedacht:
iptables -t nat -A PREROUTING -d "ip hinter standleitung" -j DNAT --to "standleitungs-router-ip" ????
Last edited by tweb_de on 11. Mar 2002 17:04, edited 1 time in total.

Mirko

Re: IPTABLES - eine einfache Regel

#13 Post by Mirko »

da ich nicht genau weiß was du für einen router hast, kann ich da keinen tip für den genauen syntax geben.

User avatar
Stormbringer
Posts: 1570
Joined: 11. Jan 2001 11:01
Location: Ruhrgebiet

Re: IPTABLES - eine einfache Regel

#14 Post by Stormbringer »

Verstehe ich das richtig so:
Verbindung 1 = Interneteinwahl via ISDN
Verbindung 2 = Standleitung zu ??? anderen Niederlassungen?

Falls dem so ist, kannst Du ja die betreffenden Netzwerke in die /etc/route.conf eintragen, und somit hast Du Deinen dedizierten Router für alle Verbindungen.
Falles es nicht so ist, verstehe ich die doppelte Anbindung nicht ... <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">

Gruß
Continuum Hierarchy Supervisor:
You have already been assimilated.
(Rechtschreibungsreformverweigerer!)

tweb_de

Re: IPTABLES - eine einfache Regel

#15 Post by tweb_de »

Und ich verstehe mittlerweile so einiges nicht mehr <img src="http://www.pl-forum.de/UltraBoard/Images/Sad.gif" border="0" align="middle"> Puh
Beide Router sind physikalisch voneinander getrennt - weiss nicht mal, wo der zweite überhaupt steht.

Ich möchte nun alle Anfragen an den ISDN ROuter stellen und ihm sagen "Wenn eine Anfragge in dieses Netz kommt - leite einfach auf den anderen Router weiter" und hol die Antwort rein.

Aber scheinbar klappt das nicht.

Post Reply