Hinweis: Das Forum wird geschlossen! Neue Registrierungen sind nicht mehr möglich!

 Zurück zu Pro-Linux   Foren-Übersicht   FAQ     Suchen    Mitgliederliste
IPTABLES - eine einfache Regel
Gehen Sie zu Seite 1, 2  Weiter
 
Neuen Beitrag schreiben   Auf Beitrag antworten    Pro-Linux Foren-Übersicht -> Netzwerk
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
tweb_de



Anmeldungsdatum: 14.02.2002
Beiträge: 46
Wohnort: Berlin

BeitragVerfasst am: 08. März 2002 20:14   Titel: IPTABLES - eine einfache Regel

Hallo.
Ich habe zwei Rechner per Linux Router miteinander verbunden - geht super.
Dann wollte ich zwei einfache Regeln aufstellen...
TCP Kommunikation (nur Beginn) in ein Netz unterbinden:
iptables -A FORWARD -d 192.168.10.0/255.255.255.0 -p tcp --syn -j DROP
Damit kann man keine Vebrindung in das eine Netz per TCP aufbauen, aber dennoch in die andere Richtung funken, da eine Antwort erlaubt ist.
Nun wollte ich lediglich den Port 80 freigeben:
iptables -A FORWARD -d 192.168.10.0/255.255.255.0 -p tcp --dport 80 -j ACCEPT

Aber leider komme ich nicht auf den Server im 10er Netz ran - was mach ich falsch ?
Hab ich was vergessen ?

Danke schonmal-
 
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen

trinity



Anmeldungsdatum: 12.10.2001
Beiträge: 821

BeitragVerfasst am: 08. März 2002 20:23   Titel: Re: IPTABLES - eine einfache Regel

First Rule Win oder auch: wer zuerst kommt malt zuerst
_________________
"Korrekt, Freundlich, Kostenfrei", wähle genau zwei. (Lutz Donnerhacke in dcsf)
 
Benutzer-Profile anzeigen Private Nachricht senden

tweb_de



Anmeldungsdatum: 14.02.2002
Beiträge: 46
Wohnort: Berlin

BeitragVerfasst am: 08. März 2002 22:16   Titel: Re: IPTABLES - eine einfache Regel

A Shit.
Wie kann ich denn das sonst bewerkstelligen: "Alles dicht machen! Dann nur das durchlassen, was ich erlauben will!" ?
 
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen

slartibartfas



Anmeldungsdatum: 02.06.2000
Beiträge: 38

BeitragVerfasst am: 08. März 2002 22:25   Titel: Re: IPTABLES - eine einfache Regel

Ähhmm???
Die Regeln vielleicht in umgekehrter Reihenfolge definieren?
Noch ein kleiner Tipp: Wenn du schon iptables benutzt, solltest du auch die statefull-Regeln angeben. Also nicht nur nach tcp-Flags filtern, sondern nach Zuständen wie ESTABLSHED und RELATED.
_________________
--
Wie funktioniert Routing? www.e-bits.de
 
Benutzer-Profile anzeigen Private Nachricht senden

tweb_de



Anmeldungsdatum: 14.02.2002
Beiträge: 46
Wohnort: Berlin

BeitragVerfasst am: 11. März 2002 7:50   Titel: Re: IPTABLES - eine einfache Regel

OK - einiges mehr hab ich ja nun kapiert:

Masquerade für ISDN ist eingestellt und funktioniert super.

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

Nun noch Regeln angeben, mit denen man NUR HTTP über den Router nutzen kann (ISDN).

iptables -A FORWARD -i ippp0 -o ippp0 -p tcp --spport 80 --dport 80 -j accept (HTTP)
iptables -A FORWARD -i ippp0 -o ippp0 -p tcp --spport 53 --dport 53 -j accept (DNS)
iptables -A FORWARD -i ippp0 -o ippp0 -p udp --spport 53 --dport 53 -j accept (DNS)

Theoretisch sollten die Clients nun eine Adresse eingeben können und die Seiten (auf Port 80 betrachten können).
Aber leider geht das noch nicht - was ist noch falsch ? Hab ich zu wenig angegeben ? Oder gar zu viel ? Was ist an den letzten drei Regeln noch falsch oder unsicher ?
 
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen

trinity



Anmeldungsdatum: 12.10.2001
Beiträge: 821

BeitragVerfasst am: 11. März 2002 12:06   Titel: Re: IPTABLES - eine einfache Regel

Nimms mir nicht krumm, aber lies bitte zuerst mal etwas über TCP/IP und Firewalls [1][2].
Die Regeln die du suchst lauten:


iptables -A FORWARD -i eth0 -o ippp0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j accept (HTTP)
iptables -A FORWARD -i eth0 -o ippp0 -p tcp --dport 53 -m state --state NEW,ESTABLISHED,RELATED-j ACCEPT (DNS)
iptables -A FORWARD -i eth0 -o ippp0 -p udp --dport 53 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT (DNS)
iptables -A FORWARD -o eth0 -i ippp0 -p tcp --sport 80 -m state --state ESTABLISHED,RELATED -j ACCEPT (HTTP)
iptables -A FORWARD -o eth0 -i ippp0 -p tcp --sport 53 -m state --state ESTABLISHED,RELATED-j ACCEPT (DNS)
iptables -A FORWARD -o eth0 -i ippp0 -p udp --sport 53 -m state --state ESTABLISHED,RELATED -j ACCEPT (DNS)

[1] http://netfilter.samba.org
[2] Einrichten von Internet Firewalls, O´Reilly
_________________
"Korrekt, Freundlich, Kostenfrei", wähle genau zwei. (Lutz Donnerhacke in dcsf)


Zuletzt bearbeitet von trinity am 11. März 2002 12:06, insgesamt 1-mal bearbeitet
 
Benutzer-Profile anzeigen Private Nachricht senden

tweb_de



Anmeldungsdatum: 14.02.2002
Beiträge: 46
Wohnort: Berlin

BeitragVerfasst am: 11. März 2002 15:54   Titel: Re: IPTABLES - eine einfache Regel

Danke - hatte da wohl einiges falsch verstanden

Eine andere Frage:
Wir benutzen 2 Router (Internet via ISDN) und Standleitung.
Dazu müssen wir zwei Gateways bei den Win Clients eintragen.

Problem: Ist der ISDN Router online, wird der zweite Gateway ignoriert und wir kommen darüber nicht raus.

Wie kann ich es bewerkstelligen, dem Internet Router zu sagen "Wenn Anfrage an Netz xx.xx.xx.0/24 kommt, über gateway xxx weiterschicken" ?
 
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen

Mirko
Gast





BeitragVerfasst am: 11. März 2002 16:19   Titel: Re: IPTABLES - eine einfache Regel

Hallo!

Versuche mal folgendes:

- nur ein Gateway (Standleitungsrouter) bei den Clienten eintragen
- und bei dem Standleitungsrouter eine Route 0.0.0.0/0.0.0.0 auf den Internetrouter, damit sendet er alles was nicht über die Standleitung soll ins Internet

Bye

Mirko
 

tweb_de



Anmeldungsdatum: 14.02.2002
Beiträge: 46
Wohnort: Berlin

BeitragVerfasst am: 11. März 2002 16:29   Titel: Re: IPTABLES - eine einfache Regel

Naja ....
Das Problem ist: Auf den Standleitungsrouter haben wir keinen Zugriff. Der ist da und macht einfach nur - keine Konfiguration möglich.
Also können wir das nur über den Internetrouter erledigen.
 
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen

Mirko
Gast





BeitragVerfasst am: 11. März 2002 16:37   Titel: Re: IPTABLES - eine einfache Regel

dann vielleicht mal anders herum probieren ...

dem internetrouter die entsprechende route auf den standleitungsrouter geben
 

Mirko
Gast





BeitragVerfasst am: 11. März 2002 16:39   Titel: Re: IPTABLES - eine einfache Regel

anmerkung

wichtig nur einen gateway auf den clienten vergeben

und mit traceroute schauen wo die pakete langlaufen und hängenbleiben

bye
 

tweb_de



Anmeldungsdatum: 14.02.2002
Beiträge: 46
Wohnort: Berlin

BeitragVerfasst am: 11. März 2002 17:04   Titel: Re: IPTABLES - eine einfache Regel

hatte schon an sowas gedacht:
iptables -t nat -A PREROUTING -d "ip hinter standleitung" -j DNAT --to "standleitungs-router-ip" ????


Zuletzt bearbeitet von tweb_de am 11. März 2002 17:04, insgesamt 1-mal bearbeitet
 
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen

Mirko
Gast





BeitragVerfasst am: 11. März 2002 17:18   Titel: Re: IPTABLES - eine einfache Regel

da ich nicht genau weiß was du für einen router hast, kann ich da keinen tip für den genauen syntax geben.
 

Stormbringer



Anmeldungsdatum: 11.01.2001
Beiträge: 1570
Wohnort: Ruhrgebiet

BeitragVerfasst am: 11. März 2002 17:50   Titel: Re: IPTABLES - eine einfache Regel

Verstehe ich das richtig so:
Verbindung 1 = Interneteinwahl via ISDN
Verbindung 2 = Standleitung zu ??? anderen Niederlassungen?

Falls dem so ist, kannst Du ja die betreffenden Netzwerke in die /etc/route.conf eintragen, und somit hast Du Deinen dedizierten Router für alle Verbindungen.
Falles es nicht so ist, verstehe ich die doppelte Anbindung nicht ...

Gruß
_________________
Continuum Hierarchy Supervisor:
You have already been assimilated.
(Rechtschreibungsreformverweigerer!)
 
Benutzer-Profile anzeigen Private Nachricht senden

tweb_de
Gast





BeitragVerfasst am: 11. März 2002 18:20   Titel: Re: IPTABLES - eine einfache Regel

Und ich verstehe mittlerweile so einiges nicht mehr Puh
Beide Router sind physikalisch voneinander getrennt - weiss nicht mal, wo der zweite überhaupt steht.

Ich möchte nun alle Anfragen an den ISDN ROuter stellen und ihm sagen "Wenn eine Anfragge in dieses Netz kommt - leite einfach auf den anderen Router weiter" und hol die Antwort rein.

Aber scheinbar klappt das nicht.
 

Beiträge vom vorherigen Thema anzeigen:   
     Pro-Linux Foren-Übersicht -> Netzwerk Alle Zeiten sind GMT + 1 Stunde
Gehen Sie zu Seite 1, 2  Weiter
Seite 1 von 2

 
Gehen Sie zu:  

Powered by phpBB © phpBB Group
pro_linux Theme © 2004 by Mandaxy