Probleme mit IPTABLES

[FireFox]

Hi!

Ich habe folgendes Problem und zwar möchte ich eine Firewall mit 3 Netzwerken (LAN, WAN, DMZ) aufbauen. Die Verbindung vom LAN ins WAN funktioniert, versuche ich aber nun vom WAN auf einen Webserver in der DMZ zu kommen funktioniert es nicht. Kann mir aber nicht erklären weshalb es nicht funktioniert.

Hier hab ich mal die Zeilen aus meinem Skript welche den Zugriff auf den Webserver sicherstellen sollten:

# Verbindung nach aussen mit InternetIP maskieren
/usr/sbin/iptables -t nat -A POSTROUTING -p tcp -s $DMZ_NET -p $PPP_DEV -j SNAT --to-source $PPP_IP
# Zugriff von aussen auf den Webserver
/usr/sbin/iptables -t nat -A PREROUTING -p tcp --dport 80 -i $PPP_DEV -j DNAT --to $DMZ_HTTP
# Weg in die DMZ
/usr/sbin/iptables -A INPUT -p tcp --dport 80 -i $PPP_DEV -j ACCEPT
/usr/sbin/iptables -A OUTPUT -p tcp -d $DMZ_NET --dport 80 -o $DMZ_DEV -j ACCEPT
# Weg aus der DMZ
/usr/sbin/iptables -A INPUT -p tcp -s $DMZ_NET --sport 80 -i $DMZ_DEV -j ACCEPT
/usr/sbin/iptables -A OUTPUT -p tcp -s $PPP_NET --sport 80 -o $PPP_DEV -j ACCEPT

Hoffe mir kann wer helfen, des ganze muß bis Donnerstag laufen ansonsten kann ich mich von meiner Projektarbeit verabschieden.

bis denn denn
FireFox

[killerhippy]

Hi,

da iptables ein Regelwerk wie eine Routingtabelle ist und daher die Maxime "Hit the first, forget the rest" gilt, ist ein Auszug eines iptables script für debugging Zwecke wertlos.

Beispiel:
iptables -P INPUT ACCEPT
iptables -A INPUT -i eth0 -j DROP
iptables -A INPUT -i eth0 --dport 80 -j ACCEPT

hätte also immer zur Folge, dass alles auf eth0 einschlagend gedroppt wird, auch wenn es an den Zielport 80 gerichtet ist.

Du musst schon das ganze Script zur Verfügung stellen, aber vielleicht hilft dir dieses Posting ja auch schon weiter.

[Hans Solo]

@firefox
falls du das script hinbekommst würdest du es posten?

mfg
arno