Ich habe es mit
Code: Alles auswählen
ifconfig addCode: Alles auswählen
eth0:0Gibt es da noch eine andere Lösung?
Edit by Snoopy:
Code-Tags für die Leserlichkeit eingefügt.
Mehrere IP Adressen
Mehrere IP Adressen
Ich möchte einem Debian-Rechner auf einer Schnittstelle verschiedene IP-Adressen zuweisen, die ich dann mittels IPTABLES mit unterschiedlichen Regeln versehen kann.
Ich habe es mit versucht. Dabei erhalte ich ein welches ich in den iptables nicht extra ansteuern kann.
Gibt es da noch eine andere Lösung?
Edit by Snoopy:
Code-Tags für die Leserlichkeit eingefügt.
Ich habe es mit
Gibt es da noch eine andere Lösung?
Edit by Snoopy:
Code-Tags für die Leserlichkeit eingefügt.
das geht über iptables nicht, weil iptables nur die physischen Interfaces sieht.
1)
a) zusätzliche NIC's
b) UML (User-Mode-Linux), XEN, ...alles was einen zusätzlichen TCP Stack zur Verfügung stellt
2)
vielleicht kannst du auch über andere zusätzliche Kriterien deine iptables Regeln anpassen, sodaß du keine zusätzlichen Interfaces benötigst
Gruß
gms
Code: Alles auswählen
Gibt es da noch eine andere Lösung?
a) zusätzliche NIC's
b) UML (User-Mode-Linux), XEN, ...alles was einen zusätzlichen TCP Stack zur Verfügung stellt
2)
vielleicht kannst du auch über andere zusätzliche Kriterien deine iptables Regeln anpassen, sodaß du keine zusätzlichen Interfaces benötigst
Gruß
gms
Das Ganze ist bei uns geschichtlich gewachsen:
Internet-Zugang schon länger über Proxy, Die e-Mails laufen über Port-Forwardings von einem bestimmten Port intern auf den MailserverPort im Internet.
Nun benötige ich aber doch für bestimmte Ports einen direkten Zugriff ins Internet. Also nutze ich den gleichen Debian-Rechner als Router.
Wenn ich aber per dicht mache funktioniert auch ein nicht mehr, da die per PREROUTING umgeleiteten Pakete ja ebenfalls FORWARD durchlaufen.
Natürlich könnte ich Port 25 und 110... im FORWARD freigeben, aber da habe ich keinen Weg gefunden dies nur für meine ge-PREROUTET-en Pakete zu tun, sondern dann wieder für alle Pakete der betreffenden Rechner.
Und deshalb bin ich auf die Idee mit der 2. IP- Adresse gekommen, welche ich dann als 'sichereren' Gateway verweden könnte.
Kann ich das Ganze auch anders einfacher lösen?
Internet-Zugang schon länger über Proxy, Die e-Mails laufen über Port-Forwardings von einem bestimmten Port intern auf den MailserverPort im Internet.
Nun benötige ich aber doch für bestimmte Ports einen direkten Zugriff ins Internet. Also nutze ich den gleichen Debian-Rechner als Router.
Wenn ich aber per
Code: Alles auswählen
iptables -A FORWARD -j DROPCode: Alles auswählen
iptable -nat -PREROUTING ...Natürlich könnte ich Port 25 und 110... im FORWARD freigeben, aber da habe ich keinen Weg gefunden dies nur für meine ge-PREROUTET-en Pakete zu tun, sondern dann wieder für alle Pakete der betreffenden Rechner.
Und deshalb bin ich auf die Idee mit der 2. IP- Adresse gekommen, welche ich dann als 'sichereren' Gateway verweden könnte.
Kann ich das Ganze auch anders einfacher lösen?
-
chroiss
- Beiträge: 332
- Registriert: 29.10.2004 09:29:43
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: BREMEN (in Wellington,NZ a.D) (in OLDENBURG a.D.) (in BREMEN a.D.) (in COLOGNE a.D.)
da hat chabayo recht .
wenn du zunächst alles dropst kannst du natürlich einzelne sachen wieder freigeben:
beispiel für openvpn ( da ich das gerade auch schon in einem anderen thread geschrieben habe) :
so hast du volle kontrolle über jeden port und sourceip/destip.
gruss chroiss
wenn du zunächst alles dropst kannst du natürlich einzelne sachen wieder freigeben:
beispiel für openvpn ( da ich das gerade auch schon in einem anderen thread geschrieben habe) :
Code: Alles auswählen
# OVPN
$IPTABLES -A FORWARD -i $INTDEV -p udp -s 192.168.10.5 --dport 5000 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -t nat -A PREROUTING -i $EXTDEV -p udp --dport 5000 -j DNAT --to-dest 192.168.10.5
$IPTABLES -A FORWARD -i $EXTDEV -o $INTDEV -d 192.168.10.5 -p udp --dport 5000 -j ACCEPT
gruss chroiss
"The only secure computer is one that's unplugged, locked in a safe, and buried 20 feet under the ground in a secret location... and I'm not even too sure about that one"--Dennis Huges, FBI.
Also um die ursprügliche Frage zu beantworten:
Eine IP Adresse kann man unter
/etc/network/interfaces Datei eintragen
dazu einfach mal
man interfaces
lesen.
Ob das aber das beschriebene Administrativeproblem löst kann ich nicht sagen.
MFG
C. Beyersdorf
PS: Man kann für ein Interface auf diese Weise auch zwei Adressen einpflegen und nach der Dest IP sollte man ja dann suchen können
Eine IP Adresse kann man unter
/etc/network/interfaces Datei eintragen
dazu einfach mal
man interfaces
lesen.
Ob das aber das beschriebene Administrativeproblem löst kann ich nicht sagen.
MFG
C. Beyersdorf
PS: Man kann für ein Interface auf diese Weise auch zwei Adressen einpflegen und nach der Dest IP sollte man ja dann suchen können