Hi,
ich habe folgendes Problem:
Suse 9.0, eth0(10.1.1.90/24) und eth0:1(10.1.1.100/24)
eth0 soll nun an die DMZ eines DSL-Routers.
eth0:1 soll nur für das 10'er Netz zugänglich sein.
Die Konfiguration habe ich mit Webmin vorgenommen.
Zum Test sollte folgende Regel funktionieren:
Drop - if prot is icmp, source 10.1.1.1 desti 10.1.1.90 and ICMP - echo-repl.
Accept - if prot is icmp, source 10.1.1.1 desti 10.1.1.100 and ICMP - echo-repl.
Das Problem ist, dass der Ping entweder immer oder garnicht auf beiden Interfacen funktioniert.
Wer weiss wo hier mein Gedankenfehler ist.
Gruß
Thomas
Iptables für eth0 und eth0:1
Re: Iptables für eth0 und eth0:1
Du hast beide Interfaces im gleichen Subnetz, damit kann der Kernel schon mal nicht routen.
Du musst die Interfaces in verschiedenen Subnetzen haben.
eth0:1 ist ein Alias fuer eth0. Aliase verhalten sich wie echte Netzwerkkarten - so können einer Netzwerkkarte mehrere IP-Adressen zugewiesen werden.
Hast du wirklich nur eine Netzwerkkarte im Rechner?
ratte
Du musst die Interfaces in verschiedenen Subnetzen haben.
eth0:1 ist ein Alias fuer eth0. Aliase verhalten sich wie echte Netzwerkkarten - so können einer Netzwerkkarte mehrere IP-Adressen zugewiesen werden.
Hast du wirklich nur eine Netzwerkkarte im Rechner?
ratte
Re: Iptables für eth0 und eth0:1
@ratte
Es ist nur eine Karte drin.
Wie würde sich das ganze verhalten, wenn die Karte in einem anderen Netz liegt?
gruß
thomas
Es ist nur eine Karte drin.
Wie würde sich das ganze verhalten, wenn die Karte in einem anderen Netz liegt?
gruß
thomas
Re: Iptables für eth0 und eth0:1
Dann wuerde das Routing auf dem Rechner funktionieren, weil er fuehr jedes Netzwerkkarteninterface eine eigen Netzwerkroute haette und dadurch eindeutig entscheiden kann, welche Pakete ueber welches Interface der einen NIC gehen sollen.
Aber du solltest wirklich eine zweite Karte reinstecken. Obwohl das mit nur einer Karte funktionieren wuerde, gehen bei dir dann Packete fuer beide Netze ueber die eine Karte. Das kann nach innen problematisch sein, und fuer den DSL-Router eventuell auch - jedenfalls hast du unnuetzen Verkehr auf der Leitung und das kann zu Performanceeinbruechen fuehren. Und selbst vernuenftige 100 MBit NICs kosten nicht mehr so viel, heute.
ratte
Aber du solltest wirklich eine zweite Karte reinstecken. Obwohl das mit nur einer Karte funktionieren wuerde, gehen bei dir dann Packete fuer beide Netze ueber die eine Karte. Das kann nach innen problematisch sein, und fuer den DSL-Router eventuell auch - jedenfalls hast du unnuetzen Verkehr auf der Leitung und das kann zu Performanceeinbruechen fuehren. Und selbst vernuenftige 100 MBit NICs kosten nicht mehr so viel, heute.
ratte