iptables Regel für virtuelles Device

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
roli
Beiträge: 3174
Registriert: 10.09.2003 17:39:58

iptables Regel für virtuelles Device

Beitrag von roli » 10.11.2008 15:38:12

Hi,

ich habe eben erfolglos versucht eine Weiterleitungsregel in meine Firewall einzubauen, die an einem virtuellen Device lauschen soll. Wenn ich die Regeln aktiviere erhalte ich folgende Fehlermeldung:

Code: Alles auswählen

route:/etc/network/if-up.d# ./00_forwarding
SIOCADDRT: Die Datei existiert bereits
Warning: weird character in interface `eth0:1' (No aliases, :, ! or *).
Warning: weird character in interface `eth0:1' (No aliases, :, ! or *).
Warning: weird character in interface `eth0:1' (No aliases, :, ! or *).
route:/etc/network/if-up.d# 
Die Regeln sind:

Code: Alles auswählen

iptables -A INPUT -m state --state NEW -i eth0:1 -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -m state --state NEW -i eth0:1 -p udp --dport 443 -j ACCEPT
iptables -A PREROUTING -t nat -i eth0:1 -p tcp --dport 443 -j DNAT --to 10.1.1.173:443
Hintergrund: ich bzw. der Rechner "route" sitzt hinter einer Cisco (gehoert dem Provider) mit zwei oeffentlichen IP's. Der Rechner und die Cisco sind mit einem Kupferkabel verbunden. Auf der Cisco kann ich Weiterleitungen auf mein internen Router schalten lassen. Die offenen Ports der ersten IP habe ich alle auf die entsprechenden Ports am Router weiterleiten lassen an eth0. Das klappt auch tadellos.
Die Ueberlegung jetzt mit der zweiten oeffentlichen IP ist, auf dem Router ein virtuelles Device (eth0:1) zu erstellen (funktioniert auch), auf das ich dann meine neuen Firewall Regeln auf dieses Device lauschen lasse.

Ich hoffe das ist soweit verstaendlich.
Roland


"Aber wenn du schon so unwissend bist, davon noch nicht gehört zu haben,
so will ich es doch als gut ansehen, daß du lieber einmal töricht fragst,
als weiterhin nichts von etwas zu wissen, das man doch wissen sollte."
aus "Die Edda des Snorri Sturluson", "Gylfis Täuschung"

roli
Beiträge: 3174
Registriert: 10.09.2003 17:39:58

Re: iptables Regel für virtuelles Device

Beitrag von roli » 10.11.2008 15:51:17

Hi,

kann es sein das es anstelle von eth0:1 vielleicht eth0.1 heissen muss?
<edit>wie es aussieht muss es in der /etc/network/interfaces

Code: Alles auswählen

iface eth0:1 inet static
        address 10.1.254.254
heissen, also mit Doppelpunkt, und in den Firewall Regeln muss ein Punkt stehen:

Code: Alles auswählen

iptables -A INPUT -m state --state NEW -i eth0.1 -p tcp --dport 443 -j ACCEPT
...
so kann ich die Regeln jedenfalls ohne Fehler laden.
iptables -L -v sieht gut aus:

Code: Alles auswählen

route:/etc/network/if-up.d# iptables -L -v
Chain INPUT (policy ACCEPT 16155 packets, 3912K bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     0    --  lo     any     anywhere             anywhere
  277 20068 ACCEPT     0    --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED
    0     0 ACCEPT     tcp  --  eth0   any     anywhere             anywhere            state NEW tcp dpt:https
    0     0 ACCEPT     udp  --  eth0   any     anywhere             anywhere            state NEW udp dpt:https
    0     0 ACCEPT     tcp  --  eth0.1 any     anywhere             anywhere            state NEW tcp dpt:https
    0     0 ACCEPT     udp  --  eth0.1 any     anywhere             anywhere            state NEW udp dpt:https
...

Danke fuer's zuhoeren ...
</edit>
Roland


"Aber wenn du schon so unwissend bist, davon noch nicht gehört zu haben,
so will ich es doch als gut ansehen, daß du lieber einmal töricht fragst,
als weiterhin nichts von etwas zu wissen, das man doch wissen sollte."
aus "Die Edda des Snorri Sturluson", "Gylfis Täuschung"

roli
Beiträge: 3174
Registriert: 10.09.2003 17:39:58

Re: iptables Regel für virtuelles Device

Beitrag von roli » 10.11.2008 16:40:40

Hi,

da bin ich schon wieder ...
Wenn ich auf dem Rechner route jetzt ein
lynx https://10.1.254.254 ausfuehre, erhalte ich nur:

Code: Alles auswählen

Obacht: Verbindung zum remote Host konnte nicht hergestellt werden.


Suche nach 10.1.254.254
HTTPS-Verbindung zu 10.1.254.254 wird aufgebaut.
Obacht: Verbindung zum remote Host konnte nicht hergestellt werden.

lynx: Unzugängliche Startdatei https://10.1.254.254/
suroute:~#
Mit lynx https://10.1.1.173 bekomme ich die gewünschte Seite.
Ist da jetzt doch ein Fehler in der Konfig die ich gemacht habe, oder liegt sonst ein Denkfehler vor?
Roland


"Aber wenn du schon so unwissend bist, davon noch nicht gehört zu haben,
so will ich es doch als gut ansehen, daß du lieber einmal töricht fragst,
als weiterhin nichts von etwas zu wissen, das man doch wissen sollte."
aus "Die Edda des Snorri Sturluson", "Gylfis Täuschung"

casteniel
Beiträge: 1
Registriert: 29.06.2008 16:34:28

Re: iptables Regel für virtuelles Device

Beitrag von casteniel » 07.03.2009 21:38:30

Hallo,

ich hab das gleiche Problem mit eth0:1 und bin dabei über die Sache mit dem Punkt in Deinem Artikel
gestolpert. Hab dazu einen Artikel von heise-Netz gefunden; Thema: virtuelle Netze und Switche.

Wenn ich das richtig verstanden habe, bezeichnet eth0.1 ein virtuelles Netz und keinen virtuellen Netzwerkadapter.

Mehr steht unter: http://de.wikipedia.org/wiki/Virtual_Local_Area_Network

Oder als Befehl unter:
vconfig add eth0 1

Viele Grüße,
Carsten

roli
Beiträge: 3174
Registriert: 10.09.2003 17:39:58

Re: iptables Regel für virtuelles Device

Beitrag von roli » 08.03.2009 14:32:40

Hi Carsten,

haettest du den erwaehnten Link zu Heise auch noch fuer mich?

Danke
Roland


"Aber wenn du schon so unwissend bist, davon noch nicht gehört zu haben,
so will ich es doch als gut ansehen, daß du lieber einmal töricht fragst,
als weiterhin nichts von etwas zu wissen, das man doch wissen sollte."
aus "Die Edda des Snorri Sturluson", "Gylfis Täuschung"

Antworten