Hinweis: Das Forum wird geschlossen! Neue Registrierungen sind nicht mehr möglich!

 Zurück zu Pro-Linux   Foren-Übersicht   FAQ     Suchen    Mitgliederliste
FORWARD mit iptables

 
Neuen Beitrag schreiben   Auf Beitrag antworten    Pro-Linux Foren-Übersicht -> Netzwerk
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
cliff1984



Anmeldungsdatum: 06.03.2007
Beiträge: 3

BeitragVerfasst am: 12. Apr 2007 8:09   Titel: FORWARD mit iptables

also ich hantier gerade was mit iptables rum

Code:
#eth0 alles erlauben
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A OUTPUT -o eth0 -j ACCEPT

#eth0.2 alles erlauben
iptables -A INPUT -i eth0.4 -j ACCEPT
iptables -A OUTPUT -o eth0.4 -j ACCEPT

#eth0.3 alles erlauben
iptables -A INPUT -i eth0.3 -j ACCEPT
iptables -A OUTPUT -o eth0.3 -j ACCEPT

#eth0.4 alles erlauben
iptables -A INPUT -i eth0.3 -j ACCEPT
iptables -A OUTPUT -o eth0.3 -j ACCEPT

# Squidport für alles was nicht localhost ist sperren !
iptables -A INPUT -m tcp -p tcp -s ! 127.0.0.1 --dport 3128 -j DROP

#iptables -A FORWARD -p all -s 192.168.1.0/24 -d 192.168.6.0/24 -j ACCEPT

iptables -A FORWARD -p icmp -s 0/0 -d 0/0 -j ACCEPT

iptables -A FORWARD -p tcp -s 0/0 -d 0/0 --dport 8080 -j ACCEPT


die auskommentierte FORWARD Regel funktioniert nicht ( also wenn ich sie aktiviere versteht sich Razz ). ich möchte halt aus dem x.x.1.0 netz in das x.x.6.0 netz alles machen dürfen ....

hab ich da nen fehler drinne ??

edit:

hab nun mal folgendes probiert

Code:
iptables -A FORWARD -i eth0.4 -o eth0.3 -p icmp  -j ACCEPT
iptables -A FORWARD -i eth0.3 -o eth0.4 -p icmp  -j ACCEPT


das funzt so auch , nun aber das problem...... von einem netz soll der komplette zugriff auf das andere möglich sein , vom anderen nur der ping ...... wie is das zu realisieren da das eingeschränkte netz ja auf die anfragen des anderen netzes reagieren muss
 
Benutzer-Profile anzeigen Private Nachricht senden

komsomolze



Anmeldungsdatum: 03.03.2006
Beiträge: 429

BeitragVerfasst am: 24. Mai 2007 5:56   Titel:

Hallo,

Code:
iptables -A ...
hängt immer AN.

Vor dem FORWARD gibt es PREROUTING, und hinterher POSTROUTING. Im FORWARD gibt es noch MANGLE.

Vielleicht ist vor oder hinter der FORWARD-Anweisung ein Problem?
Code:
iptables -L -nv --line-numbers [-t filter]
iptables -L -nv --line-numbers -t nat
iptables -L -nv --line-numbers -t mangle
Vielleicht eine DROP-Policy?

Forwarding ist aktiviert? (/proc/sys/net/ipv4/ip_forward)
Routing|Gateway ist eingestellt? Entsprechend dann auch auf den Clients?
Wird NAT benötigt? (die Targets SNAT bzw. MASQUERADE in POSTROUTING, DNAT in PREROUTING)

Zur Analyse kannst Du jedem oben ermittelten table eine LOG-Anweisung voranstellen.
Code:
iptables -I ... -j LOG --log-prefix Blabla
Dann ist ein durchlaufendes (bzw. nicht durchlaufendes) Paket zu beobachten.





Zitat:
# Squidport für alles was nicht localhost ist sperren !
iptables -A INPUT -m tcp -p tcp -s ! 127.0.0.1 --dport 3128 -j DROP
dafür wird noch eine LOOP-Regel gebraucht, sonst kann Dir jemand ein Exploit-Paket mit gefälschter 127.0.0.1 schicken, zBsp:
Code:
iptables -I INPUT -d 127.0.0.1/8 -j DROP
iptables -I INPUT -s 127.0.0.1/8 -j DROP
iptables -I INPUT -i lo -j ACCEPT

_________________
mfg komsomolze
 
Benutzer-Profile anzeigen Private Nachricht senden

Beiträge vom vorherigen Thema anzeigen:   
     Pro-Linux Foren-Übersicht -> Netzwerk Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehen Sie zu:  

Powered by phpBB © phpBB Group
pro_linux Theme © 2004 by Mandaxy