Iptables Forward / Filter zw. unterschiedlichen Netzen

[tb123]

Hallo zusammen,

ich würde mich über ein paar Ideen zu folgender Thematik freuen:

Es soll mittels IPTABLES auf einem Ubuntu Server ein Router bzw. Paketfilter eingerichtet werden.

Folgende Netzwerke existieren:

(Netzadresse | Name | Schnittstelle | std GW)

100.100.101.0 | Netz1 | vlan2 | 100.100.101.254
100.100.102.0 | Netz2 | vlan3 | 100.100.102.254
100.100.103.0 | Netz3 | vlan4 | 100.100.103.254
100.100.104.0 | Netz4 | vlan5 | 100.100.104.254
100.100.105.0 | Netz5 | vlan6 | 100.100.105.254

Die Netze wurden alle als VLAN realisiert.
Die VLAN Konfiguration auf dem ubuntu Router wurde erfolgreich abgeschlossen. Der Ping ist bei IP Forwarding möglich.

Später sollen alle Netzwerke miteinander kommunizieren können, allerdings nur über erlaubte Filter (TCP, UDP...). Ist das möglich?

Als Prototyp möchte ich die Kommunikation zw. vlan2 und vlan6 betrachten.

Meine aktuelle Konfiguration (Aktuell versuche ich noch alles von vlan2 nach vlan6 weiterzuleiten...):


# Paketweiterleitung aktivieren
Sysctl –w net.ipv4.ip_forward=1

# Reset
iptables –F

# alles blocken
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# Alle Pakete von vlan2 nach vlan6 weiterleiten
iptables -A FORWARD -1 vlan2 -o vlan6 -j ACCEPT

Leider funktioniert das noch nicht

Weiß jemand Hilfe? Oder kennt jemand einen Link, wo die Weiterleitung von ganzen Netzwerken beschrieben ist?

Grüße

[tb123]

Müsste die Weiterleitung mit folgender Kette möglich sein?

Code: Alles auswählen

iptables -A FORWARD -s 100.100.101.0/24 -i vlan2 -d 100.100.105.0/24 -o vlan6

[DynaBlaster]

Was ist mit dem Rückweg? Im Moment werden zwar Pakete von vlan2 nach vlan6 erlaubt, aber alles was von vlan6 nach vlan2 zurückkommt, wird kommentarlos "gedroppt". Kommunikation ist da irgendwie nur in eine RIchtung möglich.

Code: Alles auswählen

iptables -A FORWARD -i vlan2 -o vlan6 -j ACCEPT
iptables -A FORWARD -i vlan6 -o vlan2 -j ACCEPT