iptables

[aticio]

Hallo
Bitte um Hilfe.
Habe einen debian Router (192.168.0.1=intern) mit iptables laufen.
Nun muss ich alle anfragen welche intern auf die Adressen/Subnetz

10.1.0.0 255.255.255.0

kommen
auf die adresse 192.168.0.3 (VPN Router) umrouten.

Habs mit folgender Regel probiert:
$IPTABLES -t nat -A PREROUTING -i $INTIF -d $SERVER -p tcp -j DNAT --to-destination $VPN_ROUTER

Bekomme nur die Meldung: Bad argument 'tcp'

Weiss wer Hilfe?

[emge]

Hallo
Bitte um Hilfe.
Habe einen debian Router (192.168.0.1=intern) mit iptables laufen.
Nun muss ich alle anfragen welche intern auf die Adressen/Subnetz

10.1.0.0 255.255.255.0

kommen
auf die adresse 192.168.0.3 (VPN Router) umrouten.

Habs mit folgender Regel probiert:
$IPTABLES -t nat -A PREROUTING -i $INTIF -d $SERVER -p tcp -j DNAT --to-destination $VPN_ROUTER

Bekomme nur die Meldung: Bad argument 'tcp'

Weiss wer Hilfe?

Wieso muss das in den Firewall-Einstellungen geregelt werden? Reicht nicht ein Eintrag in den Routing-Tabellen aus? So etwas wie

Code: Alles auswählen

route add 10.1.0.0/24 gw 192.168.0.3

sollte dafür eigentlich passen.

Grüße, Marco

[aticio]

Es "muss" nicht in den Firewall regeln stehen Hab nur gedacht da passts hin.

Gibts da irgendwo ein skript für die routings? Mit "route" werden ja die aktuellen angezeigt.
Möchte nicht nach jedem reboot den Befehl eingeben müssen.

Danke für die Hilfe!

[aticio]

Wie gibt man das subnetz ein?
mit: route add 10.1.0.0/255.255.255.0 gw 192.168.0.3 gehts nicht.

[spiffi]

Code: Alles auswählen

man route

... da werden Sie geholfen.

Code: Alles auswählen

route add -net 10.1.0.0 netmask 255.255.255.0 gw 192.168.0.3

[aticio]

so, die route ist eingetragen nur wird da nichts geroutet
Hatt vielleicht jemand einen Tip?
Danke.

[spiffi]

Ein paar mehr Details wären nicht schlecht.
Was für ne Fehlermeldung gibts beim Client?
Kommen die Pakete fürs 10.1.0.0 Netz beim 192.168.0.1 an?
Werden sie weitergeleitet?
Wenn nein, werden sie vielleicht von Firewall-Regeln geblockt?

[emge]

Ich bin mir nicht sicher, ob das mit dem Routing über den Internet-Router funktioniert, wenn der VPN-Gateway im selben Subnetz steht. M. E. müsste die zusätzliche Route direkt bei den Client-PCs eingetragen werden.

Grüße, Marco

[spiffi]

Ich vermute mal, daß der Internet-Router bei den Clients als Default-Gateway eingetragen ist. Somit sollte das Routing kein Problem sein, sofern die Clients nicht noch eine eigene Route auf das 10.1.0.0 Netz haben.
Ob der VPN-Router im gleichen Netz steht oder nicht sollte dann unerheblich sein.

[aticio]

So.
Der Internet Router ist tatsächlich bei den Clients als default gateway eingetragen.
Wenn ich ein ping auf einen der Rechner der neuen route mache kommt nur ne Zeitüberschreitung.
Wie kann ich feststellen wo das Paket hängenbleibt? (ev. Firewallscript?)

[aticio]

Wenn ich ein tracert mache scheint nur der Internet gateway auf und dann ist nur mehr Zeitüberschreitung.
edit: wenn ich das firewallscript abdrehe gehts.
Jetzt ist nur noch die Frage: was muss ich wo im Firewall script eintragen?

[aticio]

in der syslog steht folgendes bei jedem ping:
fp=ICMP:3 a=DROP IN=eth0 SRC=meine ip DST= ipaddr usw....

d.h. für mich dass es wirklich von der Firewall gedropt wird oder?

Bitte um Hilfe wie ich diese Art von Traffic durchlassen kann.
Soll ich das Firewallscript posten (ist ziemlich lang) ?

[spiffi]

Du hast zwei Möglichkeiten:
1) Finde die Regel, die den Traffic zum 192.168.0.3 blockiert und ändere sie ab.
2) Füge in der Forwarding-Chain an erster Stelle eine Regel ein, die den Traffic explizit durchläßt.

[aticio]

Das mit dem Forwarding hab ich so probiert:
$IPTABLES -A FORWARD -i $INTIF -d $10.1.1.0 -p tcp -j ACCEPT

Ändert aber nichts.
soll die option -d da eigentlich rein? ist die option -p tcp richtig?

[aticio]

so, habe jetzt folgende Regel erstellt:
$IPTABLES -A FORWARD -i $INTIF -o $INTIF -j ACCEPT

Das scheint auch so zu funktionieren.
Meine Frage: Kann dadurch irgendeine Sicherheitslücke entstehen?

[spiffi]

Sollte eigentlich kein Problem sein. Aber gerade Forwarding-Regeln sollte man so eng wie möglich ziehen. Versuchs mal hiermit:

Code: Alles auswählen

$IPTABLES -A FORWARD -s 192.168.0.0/24 -i $INTIF -d 10.1.0.0/24 -o $INTIF -j ACCEPT

[aticio]

@Spiffi: Besten Dank nochmal für die Hilfe!!
Hab jetzt die Regeln nach Deinen Vorschlägen angepasst und es funzt auch noch!

Also Thanx nochmal!!

[aticio]

Hi nochmal!
Hab da noch ein Problem:
Anfragen die über den VPN Router kommen werden nicht akzeptiert.
dh. ein ping von der externen Adresse 10.1.1.154 kommt zwar rein zum lokalen Rechner nur die Antwort wird von der Firewall gedropt.
Kann mir jemand sagen wo ich das paket erlauben muss?

edit:
Folgende Regel verhindert scheinbar die Antwort:
#Invalid packets (not ESTABLISHED,RELATED or NEW)
$IPTABLES -N LINVALID
$IPTABLES -A LINVALID -m limit --limit $LOGLIMIT --limit-burst $LOGLIMITBURST -j LOG --log-prefix "fp=INVALID:1 a=DROP "
$IPTABLES -A LINVALID -j DROP

Kann mir wer sagen wozu das gemacht wird und warum?