Iptables für eth0 und eth0:1

Antworten
Nachricht
Autor
Thomas

Iptables für eth0 und eth0:1

#1 Beitrag von Thomas » 06. Jan 2004 4:26

Hi,

ich habe folgendes Problem:

Suse 9.0, eth0(10.1.1.90/24) und eth0:1(10.1.1.100/24)

eth0 soll nun an die DMZ eines DSL-Routers.
eth0:1 soll nur für das 10'er Netz zugänglich sein.

Die Konfiguration habe ich mit Webmin vorgenommen.

Zum Test sollte folgende Regel funktionieren:

Drop - if prot is icmp, source 10.1.1.1 desti 10.1.1.90 and ICMP - echo-repl.
Accept - if prot is icmp, source 10.1.1.1 desti 10.1.1.100 and ICMP - echo-repl.

Das Problem ist, dass der Ping entweder immer oder garnicht auf beiden Interfacen funktioniert.

Wer weiss wo hier mein Gedankenfehler ist.

Gruß
Thomas

ratte

Re: Iptables für eth0 und eth0:1

#2 Beitrag von ratte » 12. Jan 2004 14:33

Du hast beide Interfaces im gleichen Subnetz, damit kann der Kernel schon mal nicht routen.
Du musst die Interfaces in verschiedenen Subnetzen haben.

eth0:1 ist ein Alias fuer eth0. Aliase verhalten sich wie echte Netzwerkkarten - so können einer Netzwerkkarte mehrere IP-Adressen zugewiesen werden.
Hast du wirklich nur eine Netzwerkkarte im Rechner?

ratte

Thomas

Re: Iptables für eth0 und eth0:1

#3 Beitrag von Thomas » 13. Jan 2004 1:46

@ratte

Es ist nur eine Karte drin.

Wie würde sich das ganze verhalten, wenn die Karte in einem anderen Netz liegt?

gruß
thomas

ratte

Re: Iptables für eth0 und eth0:1

#4 Beitrag von ratte » 14. Jan 2004 14:14

Dann wuerde das Routing auf dem Rechner funktionieren, weil er fuehr jedes Netzwerkkarteninterface eine eigen Netzwerkroute haette und dadurch eindeutig entscheiden kann, welche Pakete ueber welches Interface der einen NIC gehen sollen.

Aber du solltest wirklich eine zweite Karte reinstecken. Obwohl das mit nur einer Karte funktionieren wuerde, gehen bei dir dann Packete fuer beide Netze ueber die eine Karte. Das kann nach innen problematisch sein, und fuer den DSL-Router eventuell auch - jedenfalls hast du unnuetzen Verkehr auf der Leitung und das kann zu Performanceeinbruechen fuehren. Und selbst vernuenftige 100 MBit NICs kosten nicht mehr so viel, heute.

ratte

Antworten