Hilfe bei IPTABLES

[pksvz]

Habe mit einem PI einen Router gebaut. Netzwerk 1 geht zum Router richtung Internet, Netzwerk 2 ist ein Accesspoint mit eigenem DHCP.

Nachdem das Surfen über diesen Accesspoint samt Routing über IPTABLES funktioniert, habe ich einen TOR Client installiert. Durch Anpasung der IPTABLES wird nun der Verkehr auf den Port von Tor umgeleitet, passt also soweit.

Nun möchte ich bestimmte Ziele nicht in das Tor Netzwerk leiten, z.B. damit ich das lokale Webinterface meines Routers erreichen kann. Das bekomme ich aber einfach nicht hin. Kann mir jemand vielleicht eine Hilfestellung geben? Habe mir schon einige Seiten zu den IPTABLES durchgelesen, bekomme es aber nicht zum Laufen.

Werden immer alle vorhandenen Tabellen durchlaufen, also immer erst "Filter" -und dann die "NAT"-Tabelle?

Danke vorab

LG pksvz

[Cae]

Du wirst deine bestehenden Regeln veraendern muessen; solange diese nicht bekannt sind, wird man dir nicht dabei helfen koennen. Vermutlich gehen zur Zeit die Antwortpakete durch Tor oder sonstige Tunnel nach draussen anstatt in's lokale Netz zurueck, was auf fehlerhaftes Routing oder falsche Paketmodifikationen hindeutet. Oder du verwendest einen transparenten Proxy fuer Tor und hast vergessen, diesen anzupassen. Aber das ist alles Raetselraten, ohne genaue Daten kann ich nicht weiterhelfen.

Zum Verstehen der iptables-Architektur ist [1] hilfreich. Das Paket wird auf der linken Seite empfangen bzw. erzeugt und durchlaeuft die dargestellten Tabellen mit ihren Ketten und den Regeln darin.

Willkommen im Forum!

Gruss Cae

[1] http://www.dqd.com/~mayoff/notes/linux/iptables.png

[pksvz]

Hey, danke für die schnelle Antwort!

Das Bild ist sehr hilfreich, danke auch dafür. Momentan ist alles eigentlich durch diesen Befehl realisiert:

iptables -t nat -A PREROUTING -i wlan0 -p tcp --syn -j REDIRECT --to-ports 9040

Und so soll es ja auch erstmal sein: der eingehende von wlan0 soll auf den Tor Port geschickt werden. Eine Ausnahme für SSH habe ich bereits: iptables -t nat -A PREROUTING -i wlan0 -p tcp --dport 22 -j REDIRECT --to-ports 22 - funktioniert auch.

Nun möchte ich eine weitere für das lokale Netzwerk meines Internetrouters haben, also z.B. 192.169.1.0/24

Danke nochmals

[Cae]

Du willst etwas haben wie

Code: Alles auswählen

iptables -t nat -A PREROUTING -d 192.168.1/24 -j ACCEPT
iptables -t nat -A PREROUTING -i wlan0 -p tcp --syn -j REDIRECT --to-ports 9040

(vorher mit -t nat --flush leeren oder direkt per -I 1 anstatt -A einhaengen.) Aber ich bin mir nicht sicher, ob das -j REDIRECT so furchtbar sauber ist. Insbesondere werden DNS-Queries, die normalerweise (aber nicht ausschliesslich) ueber UDP gehen, nicht matchen und auf normalem Weg in's Internet abfliessen.

Gruss Cae