Sie sind nicht angemeldet.

Routning ?

  • 1
  • 2

Rayback

Anfänger

  • »Rayback« ist der Autor dieses Themas

Beiträge: 23

  • Nachricht senden

21

14.07.2009, 11:14

Hey Bjoern,

also ich bekomme eins nicht hin. Wie muss ich routen damit mein 192.168.40.0/24 ins Internet kann ?
Reicht es nur wenn ich eine Route auf dem Debian eintrage ?
Ich habe folgendes eingetragen:

- route add -net 192.168.40.0 netmask 255.255.255.0 gw 192.168.3.100 dev eth0

Aber ich weiss nicht warum ich immer noch nicht ins Internet kann.
Mein default gw ist 192.168.3.1.
Ich denke mal wenn ich das hinbekomme dann werde ich das andere auch besser
realisieren können.
Übrigens ich habe auch ein DHCP auf dem Debian eingerichtet der einem bestimmten Client eine bestimmte IP vergibt wegen der MAC. Nunja du meintest das ich hier schon
irgenwie Routen eintragen kann aber wie ? :keineahnung:

Rayback

Anfänger

  • »Rayback« ist der Autor dieses Themas

Beiträge: 23

  • Nachricht senden

22

14.07.2009, 12:01

Ich habe einen Client mit folgenden Daten:

IP-Adresse: 192.168.40.15
Gateway: 192.168.40.1
DNS: 192.168.40.1

Wie muss ich das denn nun auf meinem Debian-Server einrichten ?
Eigentlich muss es automatisch gehen, da ich ein und die selbe
Netzwerschnittstelle (eth0) anspreche aber mit anderen Namen.

eth0:40
adress 192.168.40.1

BorneBjoern

Stuemper

  • »BorneBjoern« ist männlich

Beiträge: 898

Wohnort: Koenigstein

  • Nachricht senden

23

14.07.2009, 14:18

okay, das sieht prinzipell nicht verkehrt aus ;)

hast du denn schon deinem Debian gesagt, dass es die Packete Forwaden soll?

echo 1 > /proc ...... (Das hab ich dir vorher schon mal geschrieben, daher findest du hier nicht den kompletten Befehl)

Pruefe doch mal nach, was in dieser Datei drinn steht. bei einer "0" kann es nicht funktioniern und bei einer "1" sollte es funktionieren, sofern dein debian die richtigen einstellungen a la:

- IP Adresse
- Subnet Maske
- Gateway
- Firewall

aufweisen kann.

wenn es nicht geht, dann geh einfach schritt fuer schritt vor.

- IP, Subnetmaske GW pruefen
- alle Regeln auskommentieren
- nur die FORWARD chain fuer das 40er Netzwerk aktivieren
. . . /sbin/iptables -A FORWARD -s 192.168.40.0/24 -j ALLOW -> damit erlaubst du ersteinmal alles
. . . aus dem 40er netz ueberallhin. wenn du allerdings den Zugriff in eines deiner LANs verbieten willst,
. . . so sollten die 2 folgenden Zeilen stehen (und dann natuerlich auch fuer jedes andere Netzwerk):
. . . /sbin/iptables -A FORWARD -s 192.168.40/24 -d 192.168.30.0/24 -j LOG --log-prefix "Dropped Zugriff 40er zu 30er Netz: "
. . . /sbin/iptables -A FORWARD -s 192.168.40/24 -d 192.168.30.0/24 -j DROP


Dann schau mal, ob du
- mit einer Maschine aus dem 40er Netz in das 30er Netz kommst und
- was das logfile (/var/log/messages) zum Thema gedropte verbindungen sagt.



[edit]

allerdings sollte das wirklich nur zum testen sein, da alle Verbindungen voin Innen nach auszen nun erlaubt sind. Wenn das funktioniert, sollten wirklich nur die Ports und Protokolle erlaubt sein, die notwendig sind.

Noch mal zur Erinnerung der essentiellen Ports und Protokolle:


- DNS Abfragen: . . . . . . udp . . . . . . 53
- http: . . . . . . . . . . . . . . . tcp . . . . . . .80
- https: . . . . . . . . . . . . . . .tcp . . . . . . .443
- imap: . . . . . . . . . . . . . . tcp . . . . . . .110

naja und den rest findest du entweder in der Dokumentation des Programmes oder in /etc/services

[/edit]
for Windows problems: reboot
for Linux problems: be root

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »BorneBjoern« (14.07.2009, 14:25)

BorneBjoern

Stuemper

  • »BorneBjoern« ist männlich

Beiträge: 898

Wohnort: Koenigstein

  • Nachricht senden

24

14.07.2009, 14:48

Zitat

Reicht es nur wenn ich eine Route auf dem Debian eintrage ?

natuerlich sollte deine debian Maschine auch ein (korrektes!) Gateway besitzen.

Zitat

route add -net 192.168.40.0 netmask 255.255.255.0 gw 192.168.3.100 dev eth0

ist schwachsinn! denn ein Gateway ist die Bruecke zwischen 2 Netzwerken.
Stell dir einfach mal vor, du hast 2 Klippen. Und du willst von Klippe A (rechte seite) auf Klippe B (linke seite). Die Bruecke, die aber auf Klippe B fuehrt, beginnt nicht auf Klippe A, sondern auf Klippe C. Tolle Sache. Hilft blosz nicht.

Ein Gateway (also ein Router) hat also IMMER genausoviele NICs, wie Netzwerke die es verbindet. EINE NIC fuer jedes Netzwerk. Denn nur somit kann gewaehrleistet werden, dass es keinen schleichweg um die Barrieren gibt. Das wurde aber bereits angesprochen, dass es ziemlich sinnbefreit ist, einen Router mit nur einer NIC zu fahren. Aber kann man natuerlich trotzdem machen.

zurueck zum Problem:

du solltest eher solche routen auf deinem Debian definieren (sofern du moechtest, dass dein 40er mit dem 30er Netz reden kann):

route add -net 192.168.40.0 -netmask 255.255.255.0 192.168.40.1

aber du brauchst auch keine routen, wenn du dann in der Firewall jede Verbindung wieder verbietest. :crazy:
for Windows problems: reboot
for Linux problems: be root

Rayback

Anfänger

  • »Rayback« ist der Autor dieses Themas

Beiträge: 23

  • Nachricht senden

25

14.07.2009, 15:16

Hehe danke.

Also folgendes. Ich habe alles chain Regeln ausgemacht.
Ich habe dem Client die folgenden Daten eingegeben:
IP-Adresse 192.168.40.15
Gateway 192.168.40.1
DNS 192.168.3.1

So nun das Problem. Ich kann jeden an pingen soweit ok. Ich kann jede Website mit der IP sowie auch mit dem Namen an pingen aber ich kann die Seite nicht im einem
Browser aufrufen. Bekomme die Fehlermeldung "Verbindung fehlgeschlagen"
hmm
Achja ich habe eine "1" in /proc/sys/... das hatte ich auch nicht gehabt.

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »Rayback« (14.07.2009, 15:17)

BorneBjoern

Stuemper

  • »BorneBjoern« ist männlich

Beiträge: 898

Wohnort: Koenigstein

  • Nachricht senden

26

14.07.2009, 15:29

Zitat

Ich kann jeden an pingen soweit ok.
was heiszt jeden? jeden im Internet? oder in jeden deinem Netz?

wie sieht denn dein Script jetzt aus? Sorry, aber mein amethyst ist gerade nicht gewaessert... und mein Hellseher-Lerhgang beginnt erst naechste Woche...
for Windows problems: reboot
for Linux problems: be root

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »BorneBjoern« (14.07.2009, 15:30)

Rayback

Anfänger

  • »Rayback« ist der Autor dieses Themas

Beiträge: 23

  • Nachricht senden

27

14.07.2009, 16:10

Wie schon gesagt. Ich habe erstmal keine Regeln. Damit ich testen kann ob ich überhaupt mit dem Rechner (192.168.40.15) ins Internet kann.
Das mit pingen meine ich sowohl intern als auch extetern sogar wenn ich
z.B. google.de pinge. Aber ich kann einfach nicht mit dem Browser (IE sowie Firefox) eine Seite Aufrufen.

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »Rayback« (14.07.2009, 16:11)

linuxerr

Prof. Dr. Schlaumeier

  • »linuxerr« ist männlich

Beiträge: 8 557

Wohnort: Mecklenburg, zur Entwicklungshilfe in Chemnitz/Sachsen ;-)

  • Nachricht senden

28

14.07.2009, 16:32

und im browser hast du "direkten kontakt in das internet" eingestellt?
Die Rechtschreibfehler in diesem Beitrag sind nicht urheberrechtlich geschützt.
Jeder der einen findet darf ihn behalten und in eigenen Werken weiterverwenden.

Rayback

Anfänger

  • »Rayback« ist der Autor dieses Themas

Beiträge: 23

  • Nachricht senden

29

14.07.2009, 16:41

Ja kein Proxy unc co. Also wnn ich eine 192.168.3.x IP nehme dann geht es wieder aber nicht mit anderen. Kann es trotzdem ein Routing Problem sein ?

BorneBjoern

Stuemper

  • »BorneBjoern« ist männlich

Beiträge: 898

Wohnort: Koenigstein

  • Nachricht senden

30

14.07.2009, 17:15

wie genau sieht denn deine Routing Tabelle auf dem Debian aus?

route -n gibt die die aktuelle Tablle ohne Namen kannste ja mal posten.

Auszerdem waere mal interessant, was /sbin/iptables -L auf deinem Debian ausgibt. Nicht dass da noch ein paar Dinge aktiv sind, die gar nicht aktiv sein sollten.

Denn wenn du google.de pingen, aber keine seiten oeffnen kannst, obwohl du keinen Proxy angegeben hast, klingt das fuer mich eher nach der FW Konfig, die dir dazwischen graetscht, als nach einem routing problem.

Allerdings kannst du auch mal um ganz sicher zu gehen, welchen weg die Packete nehmen ein tracert google.de machen.
for Windows problems: reboot
for Linux problems: be root

Rayback

Anfänger

  • »Rayback« ist der Autor dieses Themas

Beiträge: 23

  • Nachricht senden

31

14.07.2009, 17:35

Also erstmal meine IFCONFIG mit mehreren Netzwerkkarten.
Dann noch meine Routingtabelle.
Irgendwie kann ich die IP 192.168.3.1 nicht mehr pingen

Quellcode

 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88

eth0      Link encap:Ethernet  Hardware Adresse 00:16:3e:78:f0:11
          inet Adresse:192.168.3.100  Bcast:192.168.3.255  Maske:255.255.255.0
          inet6-Adresse: fe80::216:3eff:fe78:f011/64 Gültigkeitsbereich:Verbind                                                                                                  ung
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metrik:1
          RX packets:4197 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1669 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:1000
          RX bytes:437000 (426.7 KiB)  TX bytes:214342 (209.3 KiB)
          Interrupt:32 Basisadresse:0xc000

eth1      Link encap:Ethernet  Hardware Adresse 00:16:3e:78:f0:12
          inet Adresse:192.168.20.1  Bcast:192.168.20.255  Maske:255.255.255.0
          inet6-Adresse: fe80::216:3eff:fe78:f012/64 Gültigkeitsbereich:Verbind                                                                                                  ung
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metrik:1
          RX packets:2774 errors:0 dropped:0 overruns:0 frame:0
          TX packets:187 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:1000
          RX bytes:321182 (313.6 KiB)  TX bytes:24170 (23.6 KiB)
          Interrupt:36 Basisadresse:0xe100

eth2      Link encap:Ethernet  Hardware Adresse 00:16:3e:78:f0:13
          inet Adresse:192.168.30.1  Bcast:192.168.30.255  Maske:255.255.255.0
          inet6-Adresse: fe80::216:3eff:fe78:f013/64 Gültigkeitsbereich:Verbind                                                                                                  ung
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metrik:1
          RX packets:2444 errors:0 dropped:0 overruns:0 frame:0
          TX packets:184 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:1000
          RX bytes:293415 (286.5 KiB)  TX bytes:23868 (23.3 KiB)
          Interrupt:40 Basisadresse:0x200

eth3      Link encap:Ethernet  Hardware Adresse 00:16:3e:78:f0:14
          inet Adresse:192.168.40.1  Bcast:192.168.40.255  Maske:255.255.255.0
          inet6-Adresse: fe80::216:3eff:fe78:f014/64 Gültigkeitsbereich:Verbind                                                                                                  ung
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metrik:1
          RX packets:5344 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3015 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:1000
          RX bytes:516742 (504.6 KiB)  TX bytes:407637 (398.0 KiB)
          Interrupt:44 Basisadresse:0x2300

eth4      Link encap:Ethernet  Hardware Adresse 00:16:3e:78:f0:15
          inet Adresse:192.168.50.1  Bcast:192.168.50.255  Maske:255.255.255.0
          inet6-Adresse: fe80::216:3eff:fe78:f015/64 Gültigkeitsbereich:Verbind                                                                                                  ung
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metrik:1
          RX packets:2459 errors:0 dropped:0 overruns:0 frame:0
          TX packets:182 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:1000
          RX bytes:291266 (284.4 KiB)  TX bytes:23631 (23.0 KiB)
          Interrupt:17 Basisadresse:0x4400

eth5      Link encap:Ethernet  Hardware Adresse 00:16:3e:78:f0:20
          inet Adresse:192.168.60.1  Bcast:192.168.60.255  Maske:255.255.255.0
          inet6-Adresse: fe80::216:3eff:fe78:f020/64 Gültigkeitsbereich:Verbind                                                                                                  ung
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metrik:1
          RX packets:2490 errors:0 dropped:0 overruns:0 frame:0
          TX packets:180 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:1000
          RX bytes:289798 (283.0 KiB)  TX bytes:23343 (22.7 KiB)
          Interrupt:21 Basisadresse:0x6500

eth6      Link encap:Ethernet  Hardware Adresse 00:16:3e:78:f0:17
          inet Adresse:192.168.70.1  Bcast:192.168.70.255  Maske:255.255.255.0
          inet6-Adresse: fe80::216:3eff:fe78:f017/64 Gültigkeitsbereich:Verbind                                                                                                  ung
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metrik:1
          RX packets:2428 errors:0 dropped:0 overruns:0 frame:0
          TX packets:170 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:1000
          RX bytes:284112 (277.4 KiB)  TX bytes:19849 (19.3 KiB)
          Interrupt:25 Basisadresse:0x8600

lo        Link encap:Lokale Schleife
          inet Adresse:127.0.0.1  Maske:255.0.0.0
          inet6-Adresse: ::1/128 Gültigkeitsbereich:Maschine
          UP LOOPBACK RUNNING  MTU:16436  Metrik:1
          RX packets:75 errors:0 dropped:0 overruns:0 frame:0
          TX packets:75 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:0
          RX bytes:5784 (5.6 KiB)  TX bytes:5784 (5.6 KiB)
[CODE]
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
192.168.70.0    0.0.0.0         255.255.255.0   U     0      0        0 eth6
192.168.20.0    0.0.0.0         255.255.255.0   U     0      0        0 eth1
192.168.50.0    0.0.0.0         255.255.255.0   U     0      0        0 eth4
192.168.3.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.30.0    0.0.0.0         255.255.255.0   U     0      0        0 eth2
192.168.60.0    0.0.0.0         255.255.255.0   U     0      0        0 eth5
192.168.40.0    0.0.0.0         255.255.255.0   U     0      0        0 eth3
0.0.0.0         192.168.3.1     0.0.0.0         UG    0      0        0 eth0

[/CODE]

BorneBjoern

Stuemper

  • »BorneBjoern« ist männlich

Beiträge: 898

Wohnort: Koenigstein

  • Nachricht senden

32

14.07.2009, 17:50

jetzt haette ich doch beinahe deinen beitrag editiert...


;)


also das mit dem routing iss noch nicht so das gelbe vom Ei.

korrekter weise sollte deine Tabelle so aussehen:

Quellcode

 
1
2
3
4
5
6
7
8
9

Ziel		Router		Genmask		Flags	Metric	Ref	Use	Iface
192.168.70.0	192.168.70.1	255.255.255.0	U	0	0	0	eth6
192.168.20.0	192.168.20.1	255.255.255.0	U	0	0	0	eth1
192.168.50.0	192.168.50.1	255.255.255.0	U	0	0	0	eth4
192.168.3.0	192.168.3.1	255.255.255.0	U	0	0	0	eth0
192.168.30.0	192.168.30.1	255.255.255.0	U	0	0	0	eth2
192.168.60.0	192.168.60.1	255.255.255.0	U	0	0	0	eth5
192.168.40.0	192.168.40.1	255.255.255.0	U	0	0	0	eth3
0.0.0.0		192.168.3.1	0.0.0.0		UG	0	0	0	eth0


das macht ein wenig mehr sinn.
for Windows problems: reboot
for Linux problems: be root

Dieser Beitrag wurde bereits 3 mal editiert, zuletzt von »BorneBjoern« (16.07.2009, 06:49)

BorneBjoern

Stuemper

  • »BorneBjoern« ist männlich

Beiträge: 898

Wohnort: Koenigstein

  • Nachricht senden

33

16.07.2009, 08:01

Ich hab noch mal einen kleinen Nachtrag zu der Routingtabelle und zum Routing allgemein, da ich beim Durchlesen des gesamten Threads den Eindruck bekommen habe, dass du gar nicht so richtig weiszt, was du machst / machen sollst.

ich bleibe mal bei dem Beispiel mit dem 40er Netz.

PC A (192.168.70.XXX /24) moechte PC T (192.168.40.YYY /24) anpingen. Das funktioniert aber nicht ohne weiteres, da die Subnetmaske einen direkten Kontakt verhindert. Die IP Konfiguration von PC A und PC B sieht so aus:

IP: . . . . . . . . . . . . 192.168.70.XXX
SubNet Maske: . 255.255.255.0
Gateway: . . . . . .192.168.70.1

IP: . . . . . . . . . . . . 192.168.40.YYY
SubNet Maske: . 255.255.255.0
Gateway: . . . . . .192.168.40.1

Der DNS Server ist bei beiden PCs identisch und darf sich auch ohne Probleme auszerhalb des eigenen Netzwerkes befinden, da zum erreichen eines anderen Netzwerkes das Gateway existiert.

DNS: . . . . . . . . . .208.67.222.222 . . . . . (freie DNS-Server)


damit fragt PC A bei jeder Adresse, die auszerhalb seines eigenen Netzwerkes liegt wen? - Richtig: 192.168.70.1 - deine Debian Maschine. Diese entscheidet dann auf Grund der Routing Tabelle, welchen Weg die Packete gehen.

Wenn also PC A PC T erreichen will, fragt er bei seinem Gateway. Dieses Schaut in seine routing tabelle nach, ob es einen Weg zu der Adresse kennt.
Ist dort eine route hinterlegt, nimmt es diese und leitet die Packete zu dieser NIC weiter. Et voila, das Packet wurde geroutet. von Netzwerk A zu Netzwerk B.

Fuer den Fall allerdings wenn keine Route vorhanden ist, nimmt das Gateway seine Default route und fragt somit die IP Adresse, welche das Gateway von deinem Router ist nach dem richtigen Weg.

Dadurch erklaeren sich auch die einzelnen Spalten der Routing Tabelle auf deiner Debian Maschine:

Quellcode

 
1
2
3
4

Ziel		Router		Genmask		Flags	Metric	Ref	Use	Iface

192.168.40.0	192.168.40.1	255.255.255.0	U	0	0	0	eth6
0.0.0.0		192.168.3.1	0.0.0.0		UG	0	0	0	eth0

Ziel: . . . . . Das sollte keiner weiteren Erklaerung beduerfen
Router: . . . Koordinaten fuer die Bruecke von Klippe A zu Klippe B ;)
Genmask: .genauere Spezifikation des Zieles
Iface: . . . . .welche NIC hat die Koordinaten der Bruecke

(und an dieser Stelle wird auch sichtbar, warum es eigentlich sinnbefreit ist, einen router mit nur einer NIC einzurichten. !)

0.0.0.0 als Ziel und / oder genmask heiszt, dass das eine beliebige IP bzw eine beliebige Subnet Maske sein darf.

Solange also PC A PC T gar nicht sehen soll, hast du folgende Moeglichkeiten:

- den Eintrag aus der Routing Tabelle entfernen und /oder
- die Packete von Netzwerk A nach Netzwerk B einfach komplett via iptables droppen (Firewall regeln werden VOR der Pruefung der Routing Tabelle abgearbeitet)
for Windows problems: reboot
for Linux problems: be root

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »BorneBjoern« (16.07.2009, 08:04)

linuxerr

Prof. Dr. Schlaumeier

  • »linuxerr« ist männlich

Beiträge: 8 557

Wohnort: Mecklenburg, zur Entwicklungshilfe in Chemnitz/Sachsen ;-)

  • Nachricht senden

34

16.07.2009, 18:50

genau genommen sagt die routingtabelle dem debian-server auch nur, über welches device er die pakete verschicken muss, um den entsprechenden empfänger zu erreichen. zum eigentlichen weiterleiten ist jedoch das forwarding auch entsprechend zu aktivieren. die routingtabelle allein bewirkt noch kein forwarding vom 40er in das 70er-netz und umgekehrt.
Die Rechtschreibfehler in diesem Beitrag sind nicht urheberrechtlich geschützt.
Jeder der einen findet darf ihn behalten und in eigenen Werken weiterverwenden.

BorneBjoern

Stuemper

  • »BorneBjoern« ist männlich

Beiträge: 898

Wohnort: Koenigstein

  • Nachricht senden

35

17.07.2009, 08:43

DOUGH! :wut:

- ich dachte ich haette alles beruecksichtigt....

Du hast natuerlich volkommen Recht. Denn ohne das aktivierte Forwarding, kann man das alles einstellen und verzweifeln weil's halt trotzdem nicht geht.

Vielen Dank fuer deine Ergaenzung. :chinese:
for Windows problems: reboot
for Linux problems: be root

Rayback

Anfänger

  • »Rayback« ist der Autor dieses Themas

Beiträge: 23

  • Nachricht senden

36

17.07.2009, 10:17

Hallo ihr beiden,

ich habe es hinbekommen ohne meine Routing Tabelle zu ändern.
Ich habe alles Standardmäßig gelassen.
Ich habe nur mit den IP-Tables FORWARD Regeln erstellt.
Das mit den ganzen INPUT und OUTPUT macht keinen Sinn, da es sich nur auf den Debian-Server bezieht. Alles andere muss wie gesagt mit FORWARD gemacht werden.
Ein Problem gibt es immer noch.
Ich habe FORWARD erstmal gedroppt.
Dann habe ich z.B.

iptables -A FORWARD -p icmp -s 192.168.40.0/24 -d 192.168.3.0/24 -j ACCEPT

gemacht aber irgendwie kann ich nicht in das Netz 192.168.3.0 pingen.
Nimm ich aber die FORWARD Chain raus, und drope bzw. rejecte diese Regeln funktionieren dann.
Ich werde mal nochmal sehen woran das liegen könnte aber momentan habe ich nichts komisches gefunden.

linuxerr

Prof. Dr. Schlaumeier

  • »linuxerr« ist männlich

Beiträge: 8 557

Wohnort: Mecklenburg, zur Entwicklungshilfe in Chemnitz/Sachsen ;-)

  • Nachricht senden

37

17.07.2009, 10:54

wenn du auf deinem debian-server
echo 1 > /proc/sys/net/ipv4/ip_forard
ausführst, dann wird das gerät augenblicklich zum router und routet was das zeug hält. die iptablesregeln sind nun dafür da, das einzuschränken. wenn du das forwarding mit einem default-drop versieht und dann eine falsche regel angibtst, dann funktioniert es plötzlich nicht mehr.
Die Rechtschreibfehler in diesem Beitrag sind nicht urheberrechtlich geschützt.
Jeder der einen findet darf ihn behalten und in eigenen Werken weiterverwenden.

linuxerr

Prof. Dr. Schlaumeier

  • »linuxerr« ist männlich

Beiträge: 8 557

Wohnort: Mecklenburg, zur Entwicklungshilfe in Chemnitz/Sachsen ;-)

  • Nachricht senden

38

17.07.2009, 11:05

noch etwas, in deinem firewallscript solltest du an erster stelle

Quellcode

 
1
2
3
4
5
6
7
8
9

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

damit wird das routing eingeschaltet (falls es das noch nicht ist) und danach werden alle bisherigen regeln gelöscht, ansonsten kommen bei der abarbeitung des scripts jedesmal neue regeln dazu und das teil reagiert dann eigenartig, da du ja immer neue regeln dazumixt.

nach dem stopp der firewall sollte unbedingt ein
echo 0 > /proc/sys/net/ipv4/ip_forward
ausgeführt werden, sonnst routet das teil wild weiter.
Die Rechtschreibfehler in diesem Beitrag sind nicht urheberrechtlich geschützt.
Jeder der einen findet darf ihn behalten und in eigenen Werken weiterverwenden.

Rayback

Anfänger

  • »Rayback« ist der Autor dieses Themas

Beiträge: 23

  • Nachricht senden

39

17.07.2009, 11:07

Quellcode

 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119

#!/bin/bash

iptables -P INPUT DROP
iptables -P OUTPUT DROP
#iptables -P FORWARD DROP

# Routing wird aktiviert
echo 1 >  /proc/sys/net/ipv4/ip_forward

# Masquerading wird aktiviert
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth3 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth4 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth5 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth6 -j MASQUERADE

# Alle "Eingehenden und Ausgehenden Ports" werden auf dem DMZ(192.168.3.100) erlaubt
iptables -A INPUT  -p tcp  -d 192.168.3.100 -s 0.0.0.0/0 -j ACCEPT
iptables -A INPUT  -p udp  -d 192.168.3.100 -s 0.0.0.0/0 -j ACCEPT
iptables -A INPUT  -p icmp -d 192.168.3.100 -s 0.0.0.0/0 -j ACCEPT
iptables -A OUTPUT -p tcp  -s 192.168.3.100 -d 0.0.0.0/0 -j ACCEPT
iptables -A OUTPUT -p udp  -s 192.168.3.100 -d 0.0.0.0/0 -j ACCEPT
iptables -A OUTPUT -p icmp -s 192.168.3.100 -d 0.0.0.0/0 -j ACCEPT
iptables -A INPUT  -p tcp  -d 192.168.20.1 -s 0.0.0.0/0 -j ACCEPT
iptables -A INPUT  -p udp  -d 192.168.20.1 -s 0.0.0.0/0 -j ACCEPT
iptables -A INPUT  -p icmp -d 192.168.20.1 -s 0.0.0.0/0 -j ACCEPT
iptables -A OUTPUT -p tcp  -s 192.168.20.1 -d 0.0.0.0/0 -j ACCEPT
iptables -A OUTPUT -p udp  -s 192.168.20.1 -d 0.0.0.0/0 -j ACCEPT
iptables -A OUTPUT -p icmp -s 192.168.20.1 -d 0.0.0.0/0 -j ACCEPT
iptables -A INPUT  -p tcp  -d 192.168.30.1 -s 0.0.0.0/0 -j ACCEPT
iptables -A INPUT  -p udp  -d 192.168.30.1 -s 0.0.0.0/0 -j ACCEPT
iptables -A INPUT  -p icmp -d 192.168.30.1 -s 0.0.0.0/0 -j ACCEPT
iptables -A OUTPUT -p tcp  -s 192.168.30.1 -d 0.0.0.0/0 -j ACCEPT
iptables -A OUTPUT -p udp  -s 192.168.30.1 -d 0.0.0.0/0 -j ACCEPT
iptables -A OUTPUT -p icmp -s 192.168.30.1 -d 0.0.0.0/0 -j ACCEPT
iptables -A INPUT  -p tcp  -d 192.168.40.1 -s 0.0.0.0/0 -j ACCEPT
iptables -A INPUT  -p udp  -d 192.168.40.1 -s 0.0.0.0/0 -j ACCEPT
iptables -A INPUT  -p icmp -d 192.168.40.1 -s 0.0.0.0/0 -j ACCEPT
iptables -A OUTPUT -p tcp  -s 192.168.40.1 -d 0.0.0.0/0 -j ACCEPT
iptables -A OUTPUT -p udp  -s 192.168.40.1 -d 0.0.0.0/0 -j ACCEPT
iptables -A OUTPUT -p icmp -s 192.168.40.1 -d 0.0.0.0/0 -j ACCEPT
iptables -A INPUT  -p tcp  -d 192.168.50.1 -s 0.0.0.0/0 -j ACCEPT
iptables -A INPUT  -p udp  -d 192.168.50.1 -s 0.0.0.0/0 -j ACCEPT
iptables -A INPUT  -p icmp -d 192.168.50.1 -s 0.0.0.0/0 -j ACCEPT
iptables -A OUTPUT -p tcp  -s 192.168.50.1 -d 0.0.0.0/0 -j ACCEPT
iptables -A OUTPUT -p udp  -s 192.168.50.1 -d 0.0.0.0/0 -j ACCEPT
iptables -A OUTPUT -p icmp -s 192.168.50.1 -d 0.0.0.0/0 -j ACCEPT
iptables -A INPUT  -p tcp  -d 192.168.60.1 -s 0.0.0.0/0 -j ACCEPT
iptables -A INPUT  -p udp  -d 192.168.60.1 -s 0.0.0.0/0 -j ACCEPT
iptables -A INPUT  -p icmp -d 192.168.60.1 -s 0.0.0.0/0 -j ACCEPT
iptables -A OUTPUT -p tcp  -s 192.168.60.1 -d 0.0.0.0/0 -j ACCEPT
iptables -A OUTPUT -p udp  -s 192.168.60.1 -d 0.0.0.0/0 -j ACCEPT
iptables -A OUTPUT -p icmp -s 192.168.60.1 -d 0.0.0.0/0 -j ACCEPT
iptables -A INPUT  -p tcp  -d 192.168.70.1 -s 0.0.0.0/0 -j ACCEPT
iptables -A INPUT  -p udp  -d 192.168.70.1 -s 0.0.0.0/0 -j ACCEPT
iptables -A INPUT  -p icmp -d 192.168.70.1 -s 0.0.0.0/0 -j ACCEPT
iptables -A OUTPUT -p tcp  -s 192.168.70.1 -d 0.0.0.0/0 -j ACCEPT
iptables -A OUTPUT -p udp  -s 192.168.70.1 -d 0.0.0.0/0 -j ACCEPT
iptables -A OUTPUT -p icmp -s 192.168.70.1 -d 0.0.0.0/0 -j ACCEPT

  ########################### ROUTER ###########################
  ######################## 192.168.3.0 #########################
#iptables -A FORWARD  -p  tcp -s 192.168.3.100/24 -d 0.0.0.0/0 -j ACCEPT
#iptables -A FORWARD  -p  udp -s 192.168.3.100/24 -d 0.0.0.0/0 -j ACCEPT
#iptables -A FORWARD  -p icmp -s 192.168.3.100/24 -d 0.0.0.0/0 -j ACCEPT

  ########################### Server ###########################
  ######################## 192.168.20.0 ########################
#iptables -A FORWARD  -p  tcp -s 192.168.20.0/24 -d 0.0.0.0/0 -j ACCEPT
#iptables -A FORWARD  -p  udp -s 192.168.20.0/24 -d 0.0.0.0/0 -j ACCEPT
#iptables -A FORWARD  -p icmp -s 192.168.20.0/24 -d 0.0.0.0/0 -j ACCEPT

  ######################## Thinclients #########################
  ######################## 192.168.30.0 ########################
#iptables -A FORWARD  -p  tcp -s 192.168.30.0/24 -d 192.168.20.0/24 -j ACCEPT
#iptables -A FORWARD  -p  udp -s 192.168.30.0/24 -d 192.168.20.0/24 -j ACCEPT
#iptables -A FORWARD  -p icmp -s 192.168.30.0/24 -d 192.168.20.0/24 -j ACCEPT

iptables -A FORWARD  -p  tcp -s 192.168.30.0/24 -d 0.0.0.0/0 -j DROP
iptables -A FORWARD  -p  udp -s 192.168.30.0/24 -d 0.0.0.0/0 -j DROP
iptables -A FORWARD  -p icmp -s 192.168.30.0/24 -d 0.0.0.0/0 -j DROP


  ##################### Rechner(Statisch) ######################
  ######################## 192.168.40.0 ########################
#iptables -A FORWARD  -p  tcp -s 192.168.40.0/24 -d 0.0.0.0/0 -j ACCEPT
#iptables -A FORWARD  -p  udp -s 192.168.40.0/24 -d 0.0.0.0/0 -j ACCEPT
#iptables -A FORWARD  -p icmp -s 192.168.40.0/24 -d 0.0.0.0/0 -j ACCEPT

  ##################### Rechner(Dynamisch) #####################
  ######################## 192.168.50.0 ########################
#iptables -A FORWARD  -p  tcp -s 192.168.50.0/24 -d 0.0.0.0/0 -j ACCEPT
#iptables -A FORWARD  -p  udp -s 192.168.50.0/24 -d 0.0.0.0/0 -j ACCEPT
iptables -A FORWARD  -p icmp -s 192.168.50.0/24 -d 0.0.0.0/0 -j DROP

#iptables -A FORWARD -p  tcp -s 192.168.50.0/24 -d 192.168.3.0/24  -j DROP
#iptables -A FORWARD -p  udp -s 192.168.50.0/24 -d 192.168.3.0/24  -j DROP
iptables -A FORWARD -p icmp -s 192.168.50.0/24 -d 192.168.3.0/24  -j ACCEPT
#iptables -A FORWARD -p  tcp -s 192.168.50.0/24 -d 192.168.20.0/24 -j DROP
#iptables -A FORWARD -p  udp -s 192.168.50.0/24 -d 192.168.20.0/24 -j DROP
#iptables -A FORWARD -p icmp -s 192.168.50.0/24 -d 192.168.20.0/24 -j DROP
#iptables -A FORWARD -p  tcp -s 192.168.50.0/24 -d 192.168.60.0/24 -j DROP
#iptables -A FORWARD -p  udp -s 192.168.50.0/24 -d 192.168.60.0/24 -j DROP
#iptables -A FORWARD -p icmp -s 192.168.50.0/24 -d 192.168.60.0/24 -j DROP

  ######################### Multimedia #########################
  ######################## 192.168.60.0 ########################
#iptables -A FORWARD  -p  tcp -s 192.168.60.0/24 -d 0.0.0.0/0 -j ACCEPT
#iptables -A FORWARD  -p  udp -s 192.168.60.0/24 -d 0.0.0.0/0 -j ACCEPT
#iptables -A FORWARD  -p icmp -s 192.168.60.0/24 -d 0.0.0.0/0 -j ACCEPT


  ############################ Frei ############################
  ######################## 192.168.70.0 ########################
#iptables -A FORWARD  -p  tcp -s 192.168.70.0/24 -d 0.0.0.0/0 -j ACCEPT
#iptables -A FORWARD  -p  udp -s 192.168.70.0/24 -d 0.0.0.0/0 -j ACCEPT
#iptables -A FORWARD  -p icmp -s 192.168.70.0/24 -d 0.0.0.0/0 -j ACCEPT


So sieht mein IP-Tables Script aus. Ich will erstmal die Policy FORWARD dropen und dann will ich den Thinclients nur einen Zugriff auf die Server erlauben sonst nix es funktioniert aber nicht es wird ignoriert.
Das wäre das einzige noch was ich brauch dann hätte ich so weit alles.

Rayback

Anfänger

  • »Rayback« ist der Autor dieses Themas

Beiträge: 23

  • Nachricht senden

40

17.07.2009, 12:50

Ok ich habe es hinbekommen.
So hats funktioniert:

#iptables -P FORWARD DROP

iptables -A FORWARD -p tcp -s 192.168.30.0/24 -d 192.168.20.0/24 -j ACCEPT
iptables -A FORWARD -p udp -s 192.168.30.0/24 -d 192.168.20.0/24 -j ACCEPT
iptables -A FORWARD -p all -s 192.168.30.0/24 -d 0.0.0.0/0 -j DROP

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »Rayback« (17.07.2009, 12:50)

  • 1
  • 2
Thema bewerten