iptables Regel für virtuelles Device

[roli]

Hi,

ich habe eben erfolglos versucht eine Weiterleitungsregel in meine Firewall einzubauen, die an einem virtuellen Device lauschen soll. Wenn ich die Regeln aktiviere erhalte ich folgende Fehlermeldung:

Code: Alles auswählen

route:/etc/network/if-up.d# ./00_forwarding
SIOCADDRT: Die Datei existiert bereits
Warning: weird character in interface `eth0:1' (No aliases, :, ! or *).
Warning: weird character in interface `eth0:1' (No aliases, :, ! or *).
Warning: weird character in interface `eth0:1' (No aliases, :, ! or *).
route:/etc/network/if-up.d# 

Die Regeln sind:

Code: Alles auswählen

iptables -A INPUT -m state --state NEW -i eth0:1 -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -m state --state NEW -i eth0:1 -p udp --dport 443 -j ACCEPT
iptables -A PREROUTING -t nat -i eth0:1 -p tcp --dport 443 -j DNAT --to 10.1.1.173:443

Hintergrund: ich bzw. der Rechner "route" sitzt hinter einer Cisco (gehoert dem Provider) mit zwei oeffentlichen IP's. Der Rechner und die Cisco sind mit einem Kupferkabel verbunden. Auf der Cisco kann ich Weiterleitungen auf mein internen Router schalten lassen. Die offenen Ports der ersten IP habe ich alle auf die entsprechenden Ports am Router weiterleiten lassen an eth0. Das klappt auch tadellos.
Die Ueberlegung jetzt mit der zweiten oeffentlichen IP ist, auf dem Router ein virtuelles Device (eth0:1) zu erstellen (funktioniert auch), auf das ich dann meine neuen Firewall Regeln auf dieses Device lauschen lasse.

Ich hoffe das ist soweit verstaendlich.

[roli]

Hi,

kann es sein das es anstelle von eth0:1 vielleicht eth0.1 heissen muss?
<edit>wie es aussieht muss es in der /etc/network/interfaces

Code: Alles auswählen

iface eth0:1 inet static
        address 10.1.254.254

heissen, also mit Doppelpunkt, und in den Firewall Regeln muss ein Punkt stehen:

Code: Alles auswählen

iptables -A INPUT -m state --state NEW -i eth0.1 -p tcp --dport 443 -j ACCEPT
...

so kann ich die Regeln jedenfalls ohne Fehler laden.
iptables -L -v sieht gut aus:

Code: Alles auswählen

route:/etc/network/if-up.d# iptables -L -v
Chain INPUT (policy ACCEPT 16155 packets, 3912K bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     0    --  lo     any     anywhere             anywhere
  277 20068 ACCEPT     0    --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED
    0     0 ACCEPT     tcp  --  eth0   any     anywhere             anywhere            state NEW tcp dpt:https
    0     0 ACCEPT     udp  --  eth0   any     anywhere             anywhere            state NEW udp dpt:https
    0     0 ACCEPT     tcp  --  eth0.1 any     anywhere             anywhere            state NEW tcp dpt:https
    0     0 ACCEPT     udp  --  eth0.1 any     anywhere             anywhere            state NEW udp dpt:https
...

Danke fuer's zuhoeren ...
</edit>

[roli]

Hi,

da bin ich schon wieder ...
Wenn ich auf dem Rechner route jetzt ein
lynx https://10.1.254.254 ausfuehre, erhalte ich nur:

Code: Alles auswählen

Obacht: Verbindung zum remote Host konnte nicht hergestellt werden.


Suche nach 10.1.254.254
HTTPS-Verbindung zu 10.1.254.254 wird aufgebaut.
Obacht: Verbindung zum remote Host konnte nicht hergestellt werden.

lynx: Unzugängliche Startdatei https://10.1.254.254/
suroute:~#

Mit lynx https://10.1.1.173 bekomme ich die gewünschte Seite.
Ist da jetzt doch ein Fehler in der Konfig die ich gemacht habe, oder liegt sonst ein Denkfehler vor?

[casteniel]

Hallo,

ich hab das gleiche Problem mit eth0:1 und bin dabei über die Sache mit dem Punkt in Deinem Artikel
gestolpert. Hab dazu einen Artikel von heise-Netz gefunden; Thema: virtuelle Netze und Switche.

Wenn ich das richtig verstanden habe, bezeichnet eth0.1 ein virtuelles Netz und keinen virtuellen Netzwerkadapter.

Mehr steht unter: http://de.wikipedia.org/wiki/Virtual_Local_Area_Network

Oder als Befehl unter:
vconfig add eth0 1

Viele Grüße,
Carsten

[roli]

Hi Carsten,

haettest du den erwaehnten Link zu Heise auch noch fuer mich?

Danke