mal eine syntax Frage zu Iptables

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
Benutzeravatar
sirius01
Beiträge: 179
Registriert: 04.05.2009 11:00:01

mal eine syntax Frage zu Iptables

Beitrag von sirius01 » 20.05.2016 19:53:36

hallo @all,

ich habe mir eine iptables gebastelt.

Code: Alles auswählen

*filter
:INPUT DROP [159:12505]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [140:13492]
COMMIT

*filter
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -i eth0 -s 192.xxx.xxx.0/24 -j DROP
-A INPUT -i tun0 -p icmp -j ACCEPT
-A INPUT -i tun0 -p tcp --sport 4711 -j ACCEPT
COMMIT
(Stark ein gekürzt und die Werte abgeändert)

Diese starte ich unter /sbin/iptables-restore /etc/network/iptables
Das geht auch alles perfekt. Nun möchte ich

Code: Alles auswählen

sudo iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE
sudo iptables -A FORWARD -i tun0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT
einfügen. Die Befehle unter Putty funzen gut.
Jetzt habe ich mich da fest gebissen. Unter was muss ich die Regeln da einbauen?
filter, mangle,nat......?

Vielen Dank im voraus :roll:

gruß sirius01 :) 8) :)

PS.: vielleicht sehe ich auch den Wald vorlauter Bäumen nicht mehr :wink:
Nach oben
Benutzeravatar
MSfree
Beiträge: 11748
Registriert: 25.09.2007 19:59:30

Re: mal eine syntax Frage zu Iptables

Beitrag von MSfree » 20.05.2016 19:58:38

sirius01 hat geschrieben:Jetzt habe ich mich da fest gebissen. Unter was muss ich die Regeln da einbauen?
Wenn du einach iptables-save ausführst, nachdem die o.g. Regeln manuell zugefügt hast, bekommst du als Ausgabe genau das, was du mit iptables-restore wieder einlesen kannst.
Nach oben
Benutzeravatar
heisenberg
Beiträge: 4148
Registriert: 04.06.2015 01:17:27
Lizenz eigener Beiträge: MIT Lizenz

Re: mal eine syntax Frage zu Iptables

Beitrag von heisenberg » 20.05.2016 19:59:13

... zu Deinem bisherigen Regelwerk:

Code: Alles auswählen

...
-A INPUT -i eth0 -j ACCEPT
-A INPUT -i eth0 -s 192.xxx.xxx.0/24 -j DROP
...
Die 1. Regel erlaubt bereits, das was die 2. Regel verbietet. D. h. die 2. Regel kommt gar nicht zum Zug. Stelle die Reihenfolge um, dass Du die 2. Regel noch oben schiebst.
Nach oben
Benutzeravatar
sirius01
Beiträge: 179
Registriert: 04.05.2009 11:00:01

Re: mal eine syntax Frage zu Iptables

Beitrag von sirius01 » 20.05.2016 20:35:00

Danke für die schnellen Antworten :THX:

Ich werde da morgen weiter machen. Heute raucht der Kopf :wink: .

@heisenberg

Die Regeln sind schon richtig. Auf eth0 möchte ich lokal vollen Zugriff haben.

Code: Alles auswählen

-A INPUT -i eth0 -s 192.xxx.xxx.0/24 -j DROP
Ist der tun0 Bereich. Für alle zugelassenen Ports gibt es dann eine Reihe von Filtern.
Wie gesagt, das geht auch alles. :wink:

Danke noch mal :wink: .

gruß sirius01 :) 8) :)
Nach oben
Benutzeravatar
heisenberg
Beiträge: 4148
Registriert: 04.06.2015 01:17:27
Lizenz eigener Beiträge: MIT Lizenz

Re: mal eine syntax Frage zu Iptables

Beitrag von heisenberg » 20.05.2016 20:41:35

@heisenberg

Die Regeln sind schon richtig. Auf eth0 möchte ich lokal vollen Zugriff haben.
Sorry. Das ist nicht möglich. Deine 1. Regel besagt, erlaube eingehend alles, was über eth0 reinkommt. Die 2. Regel lautet: Blockiere die Quelladresse 192.xxx.xxx.0/24. Die Ablehnung der 2. Regel greift nie, da die erste vorher immer alles erlaubt hat.
Nach oben
Benutzeravatar
sirius01
Beiträge: 179
Registriert: 04.05.2009 11:00:01

Re: mal eine syntax Frage zu Iptables

Beitrag von sirius01 » 20.05.2016 21:00:21

Ich hatte das bisherige schon vor einiger Zeit ausgiebig getestet.
Leider musste ich das Projekt längere Zeit ruhen lassen. Heute habe ich weiter gemacht.
Und eine Katastrophe hat die andere gejagt. <-- Gehört nicht hier her aber manchmal ist es so(Murphys Gesetz) :wink:
Ich werde morgen in aller Ruhe noch mal alles durch testen.

gruß sirius01 :) 8) :)
Nach oben
Antworten

Zurück zu „Netzwerk“