(gelöst)IPtables mit virtueller Netzwerkadresse

sirius01 · Beitrag von **sirius01** » 29.12.2014 12:31:13

Hallo @all

ich habe eine rasperry pi mit dem aktuellen Debian.
Diese hat zusätzlich eine virtuelle Netzwerkadresse
eth0 192.168.25.90
eth0:1 192.168.80.90

Ist es möglich mit IPtables das so zu gestalten, das nur eingehende Verbindungen zu eth0:1 gefiltert werden? Aber eth0 unverändert bleibt.
eth0:1 wird für wartungs und zugriffarbeiten vom Internet aus benötigt.
Ich brauche port 80, 22, 23 und 21.
Ausprobiert habe ich schon so einiges. Nun habe ich die Übersicht verloren

Code: Alles auswählen

*filter
:INPUT ACCEPT [159:12505]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [140:13492] 
COMMIT

*filter
 -A INPUT -i lo -j ACCEPT
 -A INPUT -i eth0:1 -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
 -A INPUT -i eth0:1 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
 -A INPUT -i eth0:1 -p tcp -m state --state NEW -m tcp --dport 23 -j ACCEPT
 -A INPUT -i eth0:1 -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT 
 -A INPUT -i eth0:1 -j REJECT --reject-with icmp-host-prohibited
COMMIT

Code: Alles auswählen

root@raspberrypi:~# sudo iptables-restore /etc/network/iptables
Bad argument `COMMIT'
Error occurred at line: 15
Try `iptables-restore -h' or 'iptables-restore --help' for more information.

Die angegbenden Ports sind fiktiv. Sie werden sich später noch ändern. Aber darum geht es nicht

Ich wäre äber einen Tip dankbar

gruß sirius01

mat6937 · Beitrag von **mat6937** » 29.12.2014 13:13:59

sirius01 hat geschrieben: eth0:1 192.168.80.90
Ist es möglich mit IPtables das so zu gestalten, das nur eingehende Verbindungen zu eth0:1 gefiltert werden?

Wenn eth0:1 von iptables ignoriert wird, dann könntest Du ja in der iptables-Regel (für die INPUT chain) die für eth0:1 zugewiesene IP-Adresse (hier 192.168.80.90) als destination-Adresse benutzen, statt das input-Interface eth0:1.

sirius01 · Beitrag von **sirius01** » 29.12.2014 13:49:45

@ mat6937

danke für den Tip

. Doch leider unverändert : Bad argument `COMMIT'

gruß sirius01

dufty2 · Beitrag von **dufty2** » 29.12.2014 14:25:10

Wie sieht denn Dein modifizierte Befehl denn nun aus?

sirius01 · Beitrag von **sirius01** » 29.12.2014 14:54:44

sorry gelöst

Es geht mit eth0:1

Da waren ein paar syntaxfehler drin

. Schreiben und Telefonieren, ein teuflischer Mix

danke @all

gruß sirius01

sirius01 · Beitrag von **sirius01** » 30.12.2014 09:42:33

Nachtrag:

Mit Virtueller Netzwerkschnittstelle keine angezeigten Fehler mehr.
Nur wird alles durchgelassen. Mit Schnittstellenangabe oder IP Angabe alles egal.
es wird nichts gefiltert.
Mit einem zusätzlichen USB Lanadapter (eth1) geht es tadelos.

Also geht IPTABLES nach meinem Erkenntnistand nicht mit virtuellen Karten!

*filter
:INPUT DROP [159:12505]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [140:13492]
COMMIT

*filter
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
#-A INPUT -s 192.168.80.0/24 -j DROP
-A INPUT -s 192.168.80.0/24 -p icmp -j ACCEPT
-A INPUT -s 192.168.80.0/24 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -s 192.168.60.0/24 -j REJECT --reject-with icmp-host-prohibited
COMMIT

Eigenartig mit eth1 geht es

gruß sirius01

debianforum.de

(gelöst)IPtables mit virtueller Netzwerkadresse

(gelöst)IPtables mit virtueller Netzwerkadresse

Re: IPtables mit virtueller Netzwerkadresse

Re: IPtables mit virtueller Netzwerkadresse

Re: IPtables mit virtueller Netzwerkadresse

Re: IPtables mit virtueller Netzwerkadresse

Re: (gelöst)IPtables mit virtueller Netzwerkadresse