Linux 14.986 Themen, 106.422 Beiträge

Verfolgung starten Optionen

FC3 + iptables

nickelo / 10 Antworten / Flachansicht Nickles

Hallo community,

ich habe da ein Problem und moechte mich gerne damit mal an Euch wenden, vielleicht gibts
ja jemanden der mir weiterhelfen kann.
Also ich habe FC3 installiert und habe in dem Router 2 Netzwerkkarten installiert.
Device eth0 (192.168.0.10)hat eine direkte verbindung zum dlink router (192.168.0.1).
Device eht1 (10.10.1.1) soll an einen switch angeschlossen werden und der Zugang fuers
interne Netz darstellen. Auf dem Router sollen http, imaps,ssh und ftp von Aussen erreich-
bar sein. Alle anderen Ports sollen auf eth0 sonst gesperrt sein. Von meinen internen PCs
will ich den Router als Gaetway (10.10.1.1) angeben, sodass die Verbindung ins internet ueber diesen PC laeuft. Desweitern soll der Router auch ueber ssh auf eth1 erreichbar sein.
Nun das Problem, wie richte ich die iptables dafuer ein und was sage ich den clients welchen dns die nutzen.
Ich hoffe es gibt hier hilfe :-) Vielen Dank schonmal.

bei Antwort benachrichtigen
Also nix für ungut, aber ein bißchen Eigeninitiative sollte vielleicht ... FrogPR
Ich habe in die /etc/resolv.conf - Datei aller Clients als nameserver die ... KarstenW
Du kannst den nameservers des dlink-Routers dann dort eintragen, wenn der ... FrogPR
Wenn du schon einen dlink - Router hast, wozu mußt du noch einen Linux ... KarstenW
Das macht dann Sinn, wenn man ein Subnetz extra absichern möchte. somit ... FrogPR
Hmm wo ist denn meine erste Antwort geblieben? Also ich nutze die Linuxkiste ... nickelo
FrogPR nickelo „Hmm wo ist denn meine erste Antwort geblieben? Also ich nutze die Linuxkiste als...“
Optionen

Hmm, also dieses Verhalten klingt etwas seltsam.

Du brauchst eigentlich kein iptables um ein Netzwerk zu benutzen. Funktioniert denn die Verbindung richtig, wenn du

echo 1 > /proc/sys/net/ipv4/ip_forward

nicht ausführst (also Forwarding nicht aktivierst)?
Und hast du denn auch masquerading aktiviert für eth0?

iptables --table nat -A POSTROUTING -o eth0 -j MASQUERADE

Das "tarnt" alle augehenden Pakete die an eth0 (von innen) ankommen mit der externen IP.

Ausserdem musst du Forwarding zulassen:

iptables -A FORWARD -i eth1 -s 192.168.10.0/24 -j ACCEPT

Das erlaubt die Weiterleitung für alle Pakete, die aus deinem 10-er Netz kommen.

Desweiteren...hast du die Policies definiert? Sinnvoll ist:

iptables -P INPUT DROP #drop all incoming packets
iptables -P OUTPUT ACCEPT #allow all outgoing packets
iptables -P FORWARD DROP #drop all forwarded packets

du kannst ja zunächst einmal alle Drop's durch ACCEPT ersetzen, dann ist keine Firewall aktiv (Falls du FORWARD auch auf ACCEPT machst, brauchst die weiter oben angegebene Regel nicht, da eh alles durchgelassen wird)

bei Antwort benachrichtigen
iptables -A FORWARD -i eth1 -s 192.168.10.0/24 -j ACCEPT Uhh, dieses hatte ... nickelo
grr ich hab mich schon gefreut, aber irgendwie werde ich wieder nach 10 ... nickelo
Also was das ist weiss ich nicht, möglicherweise leigt das aber an der ... FrogPR