Routing Frage

[barmeier]

Hi zusammen,

wahrscheinlich kann es keiner mehr hören, aber irgendwie kann ich es nicht aus den Forumsbeuträgen rauslesen, hier also meine Frage zum Routing:

Ich habe einen debian etch Rechner mit 3 Netzwerkkarten. Meine route sieht so aus:

Code: Alles auswählen

Ziel            Router          Genmask         Flags Metric Ref    Use Iface
dslb-084-000-00 *               255.255.255.255 UH    0      0        0 ppp0
192.168.38.0    localhost       255.255.255.0   UG    0      0        0 eth0
192.168.1.0     *               255.255.255.0   U     0      0        0 eth2
192.168.10.0    localhost       255.255.255.0   UG    0      0        0 eth1
default         dslb-084-000-00 0.0.0.0         UG    0      0        0 ppp0

Ich komme sowohl vom 38er als auch vom 10er Netz ins Internet. Aber ich kriege keine Verbindung vom 38er Netz zum 10er Netz. Müsste das nicht automatisch funktionieren ??

IpForwarding ist an. Meine IPTables sehen so aus:

Code: Alles auswählen

Chain INPUT (policy DROP)
target     prot opt source               destination
LOG        tcp  --  anywhere             anywhere            tcp dpt:openvpn LOG level warning prefix `SEEN INPUT: '
LOG        udp  --  anywhere             anywhere            udp spt:openvpn LOG level warning prefix `SEEN INPUT: '
DROP       all  --  localhost.localdomain  anywhere
DROP       all  --  anywhere             localhost.localdomain
DROP       all  --  localhost/16         anywhere
DROP       all  --  localhost/16         anywhere
ACCEPT     all  --  localhost.localdomain  anywhere
ACCEPT     all  --  anywhere             localhost.localdomain
ACCEPT     icmp --  anywhere             anywhere            icmp echo-request
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:https
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh
ACCEPT     udp  --  anywhere             anywhere            udp dpt:openvpn
ACCEPT     udp  --  anywhere             anywhere            udp spt:openvpn
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
LOG        udp  --  anywhere             anywhere            udp dpt:openvpn LOG level warning prefix `DROP INPUT: '
LOG        udp  --  anywhere             anywhere            udp spt:openvpn LOG level warning prefix `DROP INPUT: '

Chain FORWARD (policy DROP)
target     prot opt source               destination
LOG        tcp  --  anywhere             anywhere            tcp dpt:openvpn LOG level warning prefix `SEEN FORWARD: '
LOG        udp  --  anywhere             anywhere            udp spt:openvpn LOG level warning prefix `SEEN FORWARD: '
DROP       all  --  localhost.localdomain  anywhere
DROP       all  --  anywhere             localhost.localdomain
DROP       all  --  localhost/16         anywhere
DROP       all  --  localhost/16         anywhere
DROP       tcp  --  anywhere             anywhere            tcp spts:netbios-ns:netbios-ssn
DROP       udp  --  anywhere             anywhere            udp spts:netbios-ns:netbios-ssn
ACCEPT     udp  --  anywhere             anywhere            udp dpt:openvpn
ACCEPT     udp  --  anywhere             anywhere            udp spt:openvpn
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere            state NEW
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
LOG        udp  --  anywhere             anywhere            udp dpt:openvpn LOG level warning prefix `DROP FORWARD: '
LOG        udp  --  anywhere             anywhere            udp spt:openvpn LOG level warning prefix `DROP FORWARD: '

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
LOG        tcp  --  anywhere             anywhere            tcp dpt:openvpn LOG level warning prefix `SEEN OUTPUT: '
LOG        udp  --  anywhere             anywhere            udp spt:openvpn LOG level warning prefix `SEEN OUTPUT: '
DROP       tcp  --  anywhere             anywhere            tcp spts:netbios-ns:netbios-ssn
DROP       udp  --  anywhere             anywhere            udp spts:netbios-ns:netbios-ssn
ACCEPT     udp  --  anywhere             anywhere            udp dpt:openvpn
ACCEPT     udp  --  anywhere             anywhere            udp spt:openvpn
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere            state NEW
LOG        udp  --  anywhere             anywhere            udp dpt:openvpn LOG level warning prefix `DROP OUTPUT: '
LOG        udp  --  anywhere             anywhere            udp spt:openvpn LOG level warning prefix `DROP OUTPUT: '

Chain RULE_4 (0 references)
target     prot opt source               destination

Was mache ich falsch ??

Ciao
Matze

[lobo]

Hi,

da du Iptables einsetzt und die Default Policy von der FORWARD Chain, DROP ist, geht das nicht mehr automatisch.

Code: Alles auswählen

Chain FORWARD (policy DROP)
target     prot opt source               destination
LOG        tcp  --  anywhere             anywhere            tcp dpt:openvpn LOG level warning prefix `SEEN FORWARD: '
LOG        udp  --  anywhere             anywhere            udp spt:openvpn LOG level warning prefix `SEEN FORWARD: '
DROP       all  --  localhost.localdomain  anywhere
DROP       all  --  anywhere             localhost.localdomain
DROP       all  --  localhost/16         anywhere
DROP       all  --  localhost/16         anywhere
DROP       tcp  --  anywhere             anywhere            tcp spts:netbios-ns:netbios-ssn
DROP       udp  --  anywhere             anywhere            udp spts:netbios-ns:netbios-ssn
ACCEPT     udp  --  anywhere             anywhere            udp dpt:openvpn
ACCEPT     udp  --  anywhere             anywhere            udp spt:openvpn
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere            state NEW
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
...

Die "ACCEPT all -- anywhere anywhere" Regel sollte die Pakete eigentlich erlauben. Am besten wäre es mal, wenn du dein Firewall Skript postest. Wenn es zu gross ist, dann bitte auf nopaste.debianforum.de.

Gruss

lobo

[barmeier]

Hi lobo,

vielen Dank !!! Das wars. Ich habe einfach zwei explizite Ausnahmen in der Form:

Code: Alles auswählen

$IPTABLES -A FORWARD  -s 192.168.10.0/24 -d 192.168.38.0/24 -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD  -s 192.168.38.0/24 -d 192.168.10.0/24 -m state --state NEW -j ACCEPT

hinzugefügt und alles geht.

Meinst du ich kann das so lassen, oder weiche ich meine Security dadurch zu sehr auf???

Vielen Dank nochmal !!!!!

Ciao
Matze

[lobo]

...
Meinst du ich kann das so lassen, oder weiche ich meine Security dadurch zu sehr auf???
...

Um das beurteilen zu können, müsste ich dein Iptables Script sehen. Aus folgenden Einträgen werde ich momentan noch nicht ganz schlau

Code: Alles auswählen

...
Chain FORWARD (policy DROP) 
...
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere            state NEW
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 
...

Du erlaubst Pakete von allen Protokollen von Überall nach Überall, dann erlaubst du neue Verbindungen von allen Protokollen von Überall nach Überall und zuletzt erlaubst du Pakete mit allen Protokollen von Überall nach Überall die aber bereits zu einer bestehenden Verbindung gehören.

Da muss irgendwo ein Fehler im Script sein, da die beiden letzten Regeln die ich Aufgelistet habe, eigentlich nie zutreffen werden (ausser ich hab nen Denkfehler).

Gruss

lobo

[barmeier]

Hi,

ich glaube wenn hier einer einen Denkfehler hat bin ich das .
Das Script ist schon sehr alt und ich habe das letzte mal vor 2 Jahren dran gebastelt.

Ich denke ich werde das mal komplett renovieren, sobald ich das aufgeräumt habe müsste das insgesamt besser funktionieren.

Wenn ich es dann poste würdest du dann mal kurz rüberschauen und mir vielleicht ein paar Tipps geben ??

Ciao
Matze

[lobo]

...
Wenn ich es dann poste würdest du dann mal kurz rüberschauen und mir vielleicht ein paar Tipps geben ??
...

Klar. Für sowas gibts ja das Forum.