Pro-Linux.de

Pro-Linux

Pro-Linux Diskussions- und Hilfeforum
Aktuelle Zeit: 19. Nov 2018 11:08

Alle Zeiten sind UTC+01:00




Ein neues Thema erstellen  Auf das Thema antworten  [ 2 Beiträge ] 
Autor Nachricht
 Betreff des Beitrags: FORWARD mit iptables
BeitragVerfasst: 12. Apr 2007 8:09 
Offline

Registriert: 06. Mär 2007 9:22
Beiträge: 3
also ich hantier gerade was mit iptables rum
Code:
#eth0 alles erlauben
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A OUTPUT -o eth0 -j ACCEPT

#eth0.2 alles erlauben
iptables -A INPUT -i eth0.4 -j ACCEPT
iptables -A OUTPUT -o eth0.4 -j ACCEPT

#eth0.3 alles erlauben
iptables -A INPUT -i eth0.3 -j ACCEPT
iptables -A OUTPUT -o eth0.3 -j ACCEPT

#eth0.4 alles erlauben
iptables -A INPUT -i eth0.3 -j ACCEPT
iptables -A OUTPUT -o eth0.3 -j ACCEPT

# Squidport für alles was nicht localhost ist sperren !
iptables -A INPUT -m tcp -p tcp -s ! 127.0.0.1 --dport 3128 -j DROP

#iptables -A FORWARD -p all -s 192.168.1.0/24 -d 192.168.6.0/24 -j ACCEPT

iptables -A FORWARD -p icmp -s 0/0 -d 0/0 -j ACCEPT

iptables -A FORWARD -p tcp -s 0/0 -d 0/0 --dport 8080 -j ACCEPT
die auskommentierte FORWARD Regel funktioniert nicht ( also wenn ich sie aktiviere versteht sich :-P ). ich möchte halt aus dem x.x.1.0 netz in das x.x.6.0 netz alles machen dürfen ....

hab ich da nen fehler drinne ??

edit:

hab nun mal folgendes probiert
Code:
iptables -A FORWARD -i eth0.4 -o eth0.3 -p icmp  -j ACCEPT
iptables -A FORWARD -i eth0.3 -o eth0.4 -p icmp  -j ACCEPT
das funzt so auch , nun aber das problem...... von einem netz soll der komplette zugriff auf das andere möglich sein , vom anderen nur der ping ...... wie is das zu realisieren da das eingeschränkte netz ja auf die anfragen des anderen netzes reagieren muss


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 24. Mai 2007 5:56 
Offline

Registriert: 03. Mär 2006 23:16
Beiträge: 430
Hallo,
Code:
iptables -A ...
hängt immer AN.

Vor dem FORWARD gibt es PREROUTING, und hinterher POSTROUTING. Im FORWARD gibt es noch MANGLE.

Vielleicht ist vor oder hinter der FORWARD-Anweisung ein Problem?
Code:
iptables -L -nv --line-numbers [-t filter]
iptables -L -nv --line-numbers -t nat
iptables -L -nv --line-numbers -t mangle
Vielleicht eine DROP-Policy?

Forwarding ist aktiviert? (/proc/sys/net/ipv4/ip_forward)
Routing|Gateway ist eingestellt? Entsprechend dann auch auf den Clients?
Wird NAT benötigt? (die Targets SNAT bzw. MASQUERADE in POSTROUTING, DNAT in PREROUTING)

Zur Analyse kannst Du jedem oben ermittelten table eine LOG-Anweisung voranstellen.
Code:
iptables -I ... -j LOG --log-prefix Blabla
Dann ist ein durchlaufendes (bzw. nicht durchlaufendes) Paket zu beobachten.




Zitat:
# Squidport für alles was nicht localhost ist sperren !
iptables -A INPUT -m tcp -p tcp -s ! 127.0.0.1 --dport 3128 -j DROP
dafür wird noch eine LOOP-Regel gebraucht, sonst kann Dir jemand ein Exploit-Paket mit gefälschter 127.0.0.1 schicken, zBsp:
Code:
iptables -I INPUT -d 127.0.0.1/8 -j DROP
iptables -I INPUT -s 127.0.0.1/8 -j DROP
iptables -I INPUT -i lo -j ACCEPT

_________________
mfg komsomolze


Nach oben
   
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen  Auf das Thema antworten  [ 2 Beiträge ] 

Alle Zeiten sind UTC+01:00


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste


Sie dürfen keine neuen Themen in diesem Forum erstellen.
Sie dürfen keine Antworten zu Themen in diesem Forum erstellen.
Sie dürfen Ihre Beiträge in diesem Forum nicht ändern.
Sie dürfen Ihre Beiträge in diesem Forum nicht löschen.
Sie dürfen keine Dateianhänge in diesem Forum erstellen.

Suche nach:
Gehe zu:  
Powered by phpBB® Forum Software © phpBB Limited
Deutsche Übersetzung durch phpBB.de