hallo allerseits
mein problem betrifft einen router mit zwei ethernet karten und einer wlan karte!
zwischen den beiden ethernetkarten soll geroutet werden, was auch dank iptables kein problem ist. auf der wlan karte die am netz hängt wurde ein vlan aufgesetzt das wiederum mit der wlankarte als bridge fungiert. ein rechner der sich an der wlan karte anmeldet bekommt von einem externen DHCP eine IP zugewiesen und das wars dann, denn sobald der rechner die IP hat werden alle anfragen Maskiert. weder das vlan noch die wlankarte noch die bridge haben eine IP und mein iptables file schaut folgendermaßen aus:
cat /opt/fw/fw
export PATH=$PATH:/sbin/iptables
#firewall initialization
#clear all the firewall rules
iptables --flush
#zero the packets and byte counters in all chains
iptables --zero
#masquerading
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -j MASQUERADE -d ! 10.10.10.0/24
iptables -t nat -A POSTROUTING -j MASQUERADE -d ! 10.10.11.0/24
iptables -A FORWARD -j ACCEPT -s 10.10.10.0/24 -d 0.0.0.0/0
iptables -A FORWARD -j ACCEPT -s 0.0.0.0/0 -d 10.10.10.0/24
iptables -A FORWARD -j ACCEPT -s 10.10.11.0/24 -d 0.0.0.0/0
iptables -A FORWARD -j ACCEPT -s 0.0.0.0/0 -d 10.10.11.0/24
iptables -A FORWARD -m physdev --physdev-in ath1 -j ACCEPT
iptables -A FORWARD -m physdev --physdev-out eth0.114 -j ACCEPT
iptables -A FORWARD -m physdev --physdev-in eth0.114 -j ACCEPT
iptables -A FORWARD -m physdev --physdev-out ath1 -j ACCEPT
iptables -A FORWARD -m physdev --physdev-in br0 -j ACCEPT
iptables -A FORWARD -m physdev --physdev-out br0 -j ACCEPT
iptables -A FORWARD -m physdev --physdev-is-bridged -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -j DROP
#tcp & udp allow
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #eingehend alles erlauben das schon verbunden ist
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #ausgehend alles erlauben das schon verbunden ist
iptables -A OUTPUT -j ACCEPT -o eth0
iptables -A OUTPUT -j ACCEPT -o ath0
iptables -A OUTPUT -j ACCEPT -o ppp0
iptables -A OUTPUT -j ACCEPT -o tun0
iptables -A INPUT -j ACCEPT -i lo0
iptables -A OUTPUT -j ACCEPT -o lo0
iptables -A INPUT -j ACCEPT -i eth1
iptables -A OUTPUT -j ACCEPT -o eth1
iptables -A INPUT -j ACCEPT -i ath1
iptables -A OUTPUT -j ACCEPT -o ath1
iptables -A INPUT -j ACCEPT -p tcp -i eth0 --destination-port 22
iptables -A INPUT -j ACCEPT -p tcp -i eth0 --destination-port 80
iptables -A INPUT -j ACCEPT -p tcp -i eth0 --destination-port 443
iptables -A INPUT -j ACCEPT -p tcp -i ath0 --destination-port 22
iptables -A INPUT -j ACCEPT -p tcp -i ath0 --destination-port 80
iptables -A INPUT -j ACCEPT -p tcp -i ath0 --destination-port 443
iptables -A INPUT -j ACCEPT -p tcp -i tun0 --destination-port 22
iptables -A INPUT -j ACCEPT -p tcp -i tun0 --destination-port 80
iptables -A INPUT -j ACCEPT -p tcp -i tun0 --destination-port 443
iptables -A INPUT -j ACCEPT -p tcp -i eth0 --destination-port 5001
iptables -A INPUT -j ACCEPT -p tcp -i tun0 --destination-port 5001
iptables -A INPUT -j ACCEPT -p tcp -i ath0 --destination-port 5001
iptables -A OUTPUT -j ACCEPT -p tcp --destination-port 111
iptables -A OUTPUT -j ACCEPT -p udp --destination-port 111
iptables -A INPUT -j ACCEPT -p tcp --destination-port 111
iptables -A INPUT -j ACCEPT -p udp --destination-port 111
iptables -P INPUT DROP
iptables -P OUTPUT DROP
würde mich freuen wenn mir jemand helfen kann das masquerading von und zu der bridge auszuschalten
mfg