Geld für Ihre Startseite!

jwacalex · 13.02.2011, 20:01:59

Hallo!
Ich benötige für zwei Situationen einen IP-Tables Regelsatz. Ich habe versucht die Regeln selbst zu erstellen, allerdings habe ich noch ein paar Fragen diesbezüglich, bzw. bin mir nicht sicher ob es so funktionieren kann.

Situation #1
Es gibt drei Netzwerkinterfaces. eth0 / eth1 / tun0. Zugriffe aus eth0 und eth1 dürfen auf alle Ports zugreifen. Zugriffe aus tun0 nur auf ein paar bestimmte.

Code:


1:
2:
3:
4:
5:
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A INPUT -i tun0 --destination-port A -j ACCEPT
iptables -A INPUT -i tun0 --destination-port B -j ACCEPT 
iptables -A INPUT -i tun0 -j DROP

Situation #2
Sämtliche Anfragen aus a.b.c. dürfen nicht aus dem Subnetz herausgehen. ("Isolation des Subnets")

Code:


1:
2:
3:
iptables –A INPUT –s a.b.c.0/24 -d a.b.c.0/24 -j ACCEPT 
iptables –A INPUT –s a.b.c.0/24 -d 0.0.0.0/0 –j DROP 
iptables –A INPUT –s 0.0.0.0/0 -d a.b.c.0/24 –j DROP

Meine Frage hierzu: Muss ich die Regeln als Input, also vor der Prozessverarbeiten oder erst danach (Output) definieren.

MrToiz · 14.02.2011, 06:12:00

http://www.frozentux.net/iptables-tu...ERSINGOFTABLES

INPUT betrifft nur Pakete, bei denen der lokale Rechner tatsächlich das Ziel ist. Ansonsten ist FORWARD zu verwenden.

Die 0.0.0.0/0 kannst du dir auch sparen:

Code:


1:
2:
3:
iptables –A FORWARD –s a.b.c.0/24 -d a.b.c.0/24 -j ACCEPT 
iptables –A FORWARD –s a.b.c.0/24 –j DROP 
iptables –A FORWARD -d a.b.c.0/24 –j DROP

Wenn die Policy auf DROP steht (empfehlenswert!) und keine weiteren Regeln mehr folgen, brauchst du sogar nur die 1. davon.

Sollten die Clients in a.b.c.0 aber über einen Switch direkt miteinander verbunden sein, brauchts auch diese Regel nicht mehr - die Pakete laufen dann ja nicht über deine Linux-Kiste.
Willst du, dass auch Dienste deiner Linux-Kiste nur über die IP a.b.c.X angesprochen werden können, brauchst du natürlich noch eine entsprechende INPUT-Regel.

jwacalex · 14.02.2011, 10:22:08

ok. vielen dank
ich denke, situation #2 ist gelöst. der filter wird für einen vpnserver verwendet

wie sieht der ansatz für situation #1 aus?

MrToiz · 14.02.2011, 17:42:41

Beispiel 1 passt im Prinzip, wobei du auch hier wieder die Policy auf DROP stellen könntest und dafür dann die letzte Regel weglassen. Was aber noch fehlt ist die Angabe, ob du UDP- oder TCP-Ports meinst ("-p TCP").

Solltest du OpenVPN verwenden, schau dir mal die Option "client-to-client" an.

jwacalex · 14.02.2011, 18:59:55

ok. vielen dank.
client-to-client ist nun aktiviert.

MrToiz · 15.02.2011, 06:02:00

Nur zur Sicherheit: Die (1.) FORWARD-Regel brauchst du dann auch nicht mehr.

14.02.2011, 10:22:08	#3 (permalink)
jwacalex Erfahrener Benutzer ID: 104481 Lose-Remote Reg: 20.04.2006 Beiträge: 235	ok. vielen dank ich denke, situation #2 ist gelöst. der filter wird für einen vpnserver verwendet wie sieht der ansatz für situation #1 aus? ~JWACalex

14.02.2011, 18:59:55	#5 (permalink)
jwacalex Erfahrener Benutzer ID: 104481 Lose-Remote Reg: 20.04.2006 Beiträge: 235	ok. vielen dank. client-to-client ist nun aktiviert. ~JWACalex

Themen-Optionen
Druckbare Version zeigen Diese Seite per E-Mail verschicken
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Iptables port forwarding	xppx	Linux & Co	1	12.05.2009 21:21:47
[Debian] iptables/squid - "redirect"+"transparenter proxy" Problem [gelöst]	Geini	Linux & Co	3	18.08.2008 18:21:18
Frage zu IPTables	Black-Horse	Linux & Co	2	17.05.2006 11:52:31

14.02.2011, 17:42:41	#4 (permalink)
MrToiz Erfahrener Benutzer ID: 72115 Lose-Remote Reg: 28.04.2006 Beiträge: 702	Beispiel 1 passt im Prinzip, wobei du auch hier wieder die Policy auf DROP stellen könntest und dafür dann die letzte Regel weglassen. Was aber noch fehlt ist die Angabe, ob du UDP- oder TCP-Ports meinst ("-p TCP"). Solltest du OpenVPN verwenden, schau dir mal die Option "client-to-client" an.

15.02.2011, 06:02:00	#6 (permalink)
MrToiz Erfahrener Benutzer ID: 72115 Lose-Remote Reg: 28.04.2006 Beiträge: 702	Nur zur Sicherheit: Die (1.) FORWARD-Regel brauchst du dann auch nicht mehr.

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)