DMZ und iptables

[Rayback]

Hallo liebe Leute.

Also ich habe ein problem mit iptables auf meinem Debian-Server.
Ich will das mein 192.168.x.x Netz nicht untereinander kommunizieren sollen.
So nun habe ich die Regel aufgestellt:

iptables -A INPUT -p icmp -m iprange --dst-range 192.168.0.1-192.168.255.254 --src-range 192.168.0.1-192.168.255.254 -j REJECT
iptables -A OUTPUT -p icmp -m iprange --src-range 192.168.0.1-192.168.255.254 --dst-range 192.168.0.1-192.168.255.254 -j REJECT

Soweit funktioniert alles aber nun möchte ich das ein Rechner einen anderen Rechner anpingen kann.
Dazu habe ich folgende Regel aufgestellt:

iptables -A INPUT -p icmp -d 192.168.3.100 -s 192.168.3.1 -j ACCEPT
iptables -A OUTPUT -p icmp -s 192.168.3.100 -d 192.168.3.1 -j ACCEPT

Es funktioniert immer noch nicht d.h. ich kann z.B. den Rechner 192.168.3.1 nicht an pingen und umgekehrt.
Woran kann es liegen ?

MfG

Chris

[nepos]

Denke mal, die ACCEPT-Regeln müssen vor deine REJECT-Regeln. Sonst matchen die als erstes und die ACCEPT-Regeln werden gar nicht angeschaut.

[Duff]

Und immer hilfreich bei sowas ist das Einschalten des Loggings bei iptables.

Beispiel für INPUT:

Code: Alles auswählen

iptables -A INPUT -j LOG --log-prefix "4all (INPUT) :"

[nepos]

Und immer hilfreich bei sowas ist das Einschalten des Loggings bei iptables.

Beispiel für INPUT:

Code: Alles auswählen

iptables -A INPUT -j LOG --log-prefix "4all (INPUT) :"

Was wohl auch nichts bringen wird, wenn die LOG-Regel hinter den REJECT-Regeln steht und diese die Pakete bereits verwerfen
Aber ansonsten ist Logging immer gut, grade, wenn man am Testen von neuen Regelsets ist.

[Rayback]

Ok ich werde es mal so versuchen. Ist es aber nichts so, dass das Script nach der Reihenfolge abgearbeitet wird ?
Wenn ich z.B. erst alles drope und dann nur für bestimmte breiche Regeln fetslege dann geht es doch auch oder ist es bei REJECT anders ?

EDIT: So ich habe es probiert und es klappt tatsächlich. Aber kann mir jemand sagen warum das so ist ?
Bei iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
ist das doch so, dass erst alles geschlossen wird und dann kann ich die Regeln aufstellen.
Aber danke für die Hilfe

[nepos]

Ok ich werde es mal so versuchen. Ist es aber nichts so, dass das Script nach der Reihenfolge abgearbeitet wird ?
Wenn ich z.B. erst alles drope und dann nur für bestimmte breiche Regeln fetslege dann geht es doch auch oder ist es bei REJECT anders ?

EDIT: So ich habe es probiert und es klappt tatsächlich. Aber kann mir jemand sagen warum das so ist ?
Bei iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
ist das doch so, dass erst alles geschlossen wird und dann kann ich die Regeln aufstellen.
Aber danke für die Hilfe

Weil du iptables noch nicht ganz verstanden hast
-P setzt die Default-Policy. Die greift nur, wenn sonst keine Regel in der entsprechenden Chain gepasst hat.
Bei den Regeln selbst ist die Reihenfolge wichtig. Die erste, die auf dein Paket matcht, wird genommen, der Rest nicht weiter ausgewertet. -A als Schalter hängt die Regeln nur immer hinten an die bereits vorhandenen dran.

[Rayback]

Hey nepos ich habe immer noch ein Problem.

Ich will das mein Netz 192.168.x.x alles pingen kann also 0/0.
Nun will ich es so haben, dass mein Netz sich nicht untereinander pingen soll außer auf ein paar ausnahmen.
Ich weiss nicht wie ich es umsetzen soll. Ich will das der Rechner 192.168.3.100 z.B. web.de pingen kann aber nicht 192.168.3.5.
Wie muss ich denn die Regeln dazu aufstellen ?

[nepos]

Poste doch mal deine bisher eingestellten Regeln. Hast du mit -P die Policy auf DROP gestellt? Wenn ja, häng mal ans Ende jeder Chain eine LOG-Regel. Dann siehst du, welche Pakete auf nichts gematcht haben und deshalb verworfen werden.

[Rayback]

Also soweit habe ich es hinbekommen.
Ich habe die REJECT Regel für das ICPM Protokoll ganz am ende meines Scripts geschrieben und somit hat es funktioniert.
Ich kann die selbe Regel dann auch für das tcp/udp Protokoll nehmen oder ?
Ich habe keine Policy Regel gemacht und somit funktioniert es so weit.