Cuneros.de -> Neue Paid4 Community
 
Alt 13.02.2011, 21:01:59   #1 (permalink)
jwacalex
Erfahrener Benutzer

ID: 104481
Lose senden

jwacalex eine Nachricht über ICQ schicken jwacalex eine Nachricht über AIM schicken jwacalex eine Nachricht über MSN schicken jwacalex eine Nachricht über Yahoo! schicken jwacalex eine Nachricht über Skype™ schicken
Reg: 20.04.2006
Beiträge: 240
Standard [iptables] Frage zur Regelerstellung [gelöst]

Hallo!
Ich benötige für zwei Situationen einen IP-Tables Regelsatz. Ich habe versucht die Regeln selbst zu erstellen, allerdings habe ich noch ein paar Fragen diesbezüglich, bzw. bin mir nicht sicher ob es so funktionieren kann.

Situation #1
Es gibt drei Netzwerkinterfaces. eth0 / eth1 / tun0. Zugriffe aus eth0 und eth1 dürfen auf alle Ports zugreifen. Zugriffe aus tun0 nur auf ein paar bestimmte.

Code:
1:
2:
3:
4:
5:
iptables -A INPUT -i eth0 -j ACCEPT iptables -A INPUT -i eth1 -j ACCEPT iptables -A INPUT -i tun0 --destination-port A -j ACCEPT iptables -A INPUT -i tun0 --destination-port B -j ACCEPT iptables -A INPUT -i tun0 -j DROP


Situation #2
Sämtliche Anfragen aus a.b.c. dürfen nicht aus dem Subnetz herausgehen. ("Isolation des Subnets")
Code:
1:
2:
3:
iptables –A INPUT –s a.b.c.0/24 -d a.b.c.0/24 -j ACCEPT iptables –A INPUT –s a.b.c.0/24 -d 0.0.0.0/0 –j DROP iptables –A INPUT –s 0.0.0.0/0 -d a.b.c.0/24 –j DROP
Meine Frage hierzu: Muss ich die Regeln als Input, also vor der Prozessverarbeiten oder erst danach (Output) definieren.
~jwacalex

Geändert von jwacalex (16.02.2011 um 17:55:55 Uhr) Grund: problemstellung gelöst
jwacalex ist offline   Mit Zitat antworten
Alt 14.02.2011, 07:12:00   #2 (permalink)
MrToiz
Erfahrener Benutzer

ID: 72115
Lose senden

Reg: 28.04.2006
Beiträge: 769
Standard

http://www.frozentux.net/iptables-tu...ERSINGOFTABLES

INPUT betrifft nur Pakete, bei denen der lokale Rechner tatsächlich das Ziel ist. Ansonsten ist FORWARD zu verwenden.

Die 0.0.0.0/0 kannst du dir auch sparen:
Code:
1:
2:
3:
iptables –A FORWARD –s a.b.c.0/24 -d a.b.c.0/24 -j ACCEPT iptables –A FORWARD –s a.b.c.0/24 –j DROP iptables –A FORWARD -d a.b.c.0/24 –j DROP
Wenn die Policy auf DROP steht (empfehlenswert!) und keine weiteren Regeln mehr folgen, brauchst du sogar nur die 1. davon.

Sollten die Clients in a.b.c.0 aber über einen Switch direkt miteinander verbunden sein, brauchts auch diese Regel nicht mehr - die Pakete laufen dann ja nicht über deine Linux-Kiste.
Willst du, dass auch Dienste deiner Linux-Kiste nur über die IP a.b.c.X angesprochen werden können, brauchst du natürlich noch eine entsprechende INPUT-Regel.
 
MrToiz ist offline   Mit Zitat antworten
Alt 14.02.2011, 11:22:08   #3 (permalink)
jwacalex
Erfahrener Benutzer

ID: 104481
Lose senden

jwacalex eine Nachricht über ICQ schicken jwacalex eine Nachricht über AIM schicken jwacalex eine Nachricht über MSN schicken jwacalex eine Nachricht über Yahoo! schicken jwacalex eine Nachricht über Skype™ schicken
Reg: 20.04.2006
Beiträge: 240
Standard

ok. vielen dank
ich denke, situation #2 ist gelöst. der filter wird für einen vpnserver verwendet

wie sieht der ansatz für situation #1 aus?
~jwacalex
jwacalex ist offline Threadstarter   Mit Zitat antworten
Alt 14.02.2011, 18:42:41   #4 (permalink)
MrToiz
Erfahrener Benutzer

ID: 72115
Lose senden

Reg: 28.04.2006
Beiträge: 769
Standard

Beispiel 1 passt im Prinzip, wobei du auch hier wieder die Policy auf DROP stellen könntest und dafür dann die letzte Regel weglassen. Was aber noch fehlt ist die Angabe, ob du UDP- oder TCP-Ports meinst ("-p TCP").

Solltest du OpenVPN verwenden, schau dir mal die Option "client-to-client" an.
 
MrToiz ist offline   Mit Zitat antworten
Alt 14.02.2011, 19:59:55   #5 (permalink)
jwacalex
Erfahrener Benutzer

ID: 104481
Lose senden

jwacalex eine Nachricht über ICQ schicken jwacalex eine Nachricht über AIM schicken jwacalex eine Nachricht über MSN schicken jwacalex eine Nachricht über Yahoo! schicken jwacalex eine Nachricht über Skype™ schicken
Reg: 20.04.2006
Beiträge: 240
Standard

ok. vielen dank.
client-to-client ist nun aktiviert.
~jwacalex
jwacalex ist offline Threadstarter   Mit Zitat antworten
Alt 15.02.2011, 07:02:00   #6 (permalink)
MrToiz
Erfahrener Benutzer

ID: 72115
Lose senden

Reg: 28.04.2006
Beiträge: 769
Standard

Nur zur Sicherheit: Die (1.) FORWARD-Regel brauchst du dann auch nicht mehr.
 
MrToiz ist offline   Mit Zitat antworten
Antwort

Stichworte
iptables firewall

Anzeige


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks sind an
Pingbacks sind an
Refbacks sind aus


Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Iptables port forwarding xppx Linux & Co 1 12.05.2009 22:21:47
[Debian] iptables/squid - "redirect"+"transparenter proxy" Problem [gelöst] Geini Linux & Co 3 18.08.2008 19:21:18
Frage zu IPTables Black-Horse Linux & Co 2 17.05.2006 12:52:31


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:34:59 Uhr.

WIR BEZAHLEN DICH FÜR DEINEN BESUCH
Schon mehr als 1.000.000 Euro ausgezahlt.
0,2¢ pro Aufruf | € 1,00 pro Referral | kostenlos | mehr Infos
mit seit 1999 ×