Hinweis: Das Forum wird geschlossen! Neue Registrierungen sind nicht mehr möglich!

 Zurück zu Pro-Linux   Foren-Übersicht   FAQ     Suchen    Mitgliederliste
Probleme mit IPTABLES

 
Neuen Beitrag schreiben   Auf Beitrag antworten    Pro-Linux Foren-Übersicht -> Netzwerk
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
FireFox
Gast





BeitragVerfasst am: 24. Mai 2004 13:48   Titel: Probleme mit IPTABLES

Hi!

Ich habe folgendes Problem und zwar möchte ich eine Firewall mit 3 Netzwerken (LAN, WAN, DMZ) aufbauen. Die Verbindung vom LAN ins WAN funktioniert, versuche ich aber nun vom WAN auf einen Webserver in der DMZ zu kommen funktioniert es nicht. Kann mir aber nicht erklären weshalb es nicht funktioniert.

Hier hab ich mal die Zeilen aus meinem Skript welche den Zugriff auf den Webserver sicherstellen sollten:

# Verbindung nach aussen mit InternetIP maskieren
/usr/sbin/iptables -t nat -A POSTROUTING -p tcp -s $DMZ_NET -p $PPP_DEV -j SNAT --to-source $PPP_IP
# Zugriff von aussen auf den Webserver
/usr/sbin/iptables -t nat -A PREROUTING -p tcp --dport 80 -i $PPP_DEV -j DNAT --to $DMZ_HTTP
# Weg in die DMZ
/usr/sbin/iptables -A INPUT -p tcp --dport 80 -i $PPP_DEV -j ACCEPT
/usr/sbin/iptables -A OUTPUT -p tcp -d $DMZ_NET --dport 80 -o $DMZ_DEV -j ACCEPT
# Weg aus der DMZ
/usr/sbin/iptables -A INPUT -p tcp -s $DMZ_NET --sport 80 -i $DMZ_DEV -j ACCEPT
/usr/sbin/iptables -A OUTPUT -p tcp -s $PPP_NET --sport 80 -o $PPP_DEV -j ACCEPT

Hoffe mir kann wer helfen, des ganze muß bis Donnerstag laufen ansonsten kann ich mich von meiner Projektarbeit verabschieden.

bis denn denn
FireFox
 

killerhippy



Anmeldungsdatum: 19.05.2000
Beiträge: 529

BeitragVerfasst am: 24. Mai 2004 19:15   Titel:

Hi,

da iptables ein Regelwerk wie eine Routingtabelle ist und daher die Maxime "Hit the first, forget the rest" gilt, ist ein Auszug eines iptables script für debugging Zwecke wertlos.

Beispiel:
iptables -P INPUT ACCEPT
iptables -A INPUT -i eth0 -j DROP
iptables -A INPUT -i eth0 --dport 80 -j ACCEPT

hätte also immer zur Folge, dass alles auf eth0 einschlagend gedroppt wird, auch wenn es an den Zielport 80 gerichtet ist.

Du musst schon das ganze Script zur Verfügung stellen, aber vielleicht hilft dir dieses Posting ja auch schon weiter.
_________________
Es gibt keine dumme Fragen!

Killerhippy
 
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen

Hans Solo
prolinux-forum-admin


Anmeldungsdatum: 20.04.2004
Beiträge: 601
Wohnort: AT

BeitragVerfasst am: 25. Mai 2004 15:33   Titel:

@firefox
falls du das script hinbekommst würdest du es posten?

mfg
arno
_________________
[root@host]# cd /pub
[root@host]# more beer
 
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen

Beiträge vom vorherigen Thema anzeigen:   
     Pro-Linux Foren-Übersicht -> Netzwerk Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehen Sie zu:  

Powered by phpBB © phpBB Group
pro_linux Theme © 2004 by Mandaxy