Hallo Leute,

es geht eigentlich um ein simples iptables-Skript. Leider komme ich nicht auf einen kompakten Ansatz.

Und zwar möchte ich einen Router, auf dem Linux läuft, an einen lokalen Switch anschließen, an dem auch anderen lokale Dienste laufen und an dem das DSL-Modem steckt.

Über diesen Router sollen sozusagen Gäste online gehen. Sie sollen nur Zugriff zum Internet haben.

Auf dem Router ist das Netzwerk 10.20.0.0/24 eingerichtet.

Das andere lokale Netz (vom Switch) ist 10.50.0.0/24.

Nun soll also ein iptables-Skript auf dem Router laufen, dass den Zugriff nur ins Internet erlaubt.

Es soll aber nicht nur der Verkehr zum Netzwerk 10.50.0.0/24 gesperrt werden, sondern zu allen möglichen anderen lokalen Netzwerken, die außer 10.20.0.0/24 möglich wären.

Wie kann man das kompakt schreiben?

Danke und Gruß, Max!

Und zwar möchte ich einen Router, auf dem Linux läuft, an einen lokalen Switch anschließen, an dem auch anderen lokale Dienste laufen und an dem das DSL-Modem steckt.

Über diesen Router sollen sozusagen Gäste online gehen. Sie sollen nur Zugriff zum Internet haben.

Hängen sich die Gäste auf den gleichen Switch, auf dem das lokale Netz eingerichtet ist? Wenn ja ist das mit einem normalen Switch, glaube ich, nicht möglich, da Anfragen ja erst an den Switch gehen und nicht zuerst an den Router. Mit einem Managed Switch kannst du verschiedene "Zonen" einrichten und so den Zugriff nur für einen bestimmten Teil freigeben.

Hi,

verstehe ich das jetzt richtig: Dein Router hängt mit einem Bein im Netzwerk 10.20.0.0 / 24. Die anderen Clients an dem Switch hängen im Netzwerk 10.50.0.0 / 24. Hat der Router auch ein Interface im Netz 10.50.0.0 / 24, wenn nicht, kannst du deinen Ansatz schon mal vergessen. Die Clients im Netzwerk 10.50.0.0 / 24 erreichen deinen Router schlicht und ergreifend nicht. Für den Fall das die Clients, die ins Internet sollen, ein Interface im Netzwerk 10.20.0.0 / 24 haben, und von den Clients im Netzwerk 10.50.0.0 / 24 getrennt werden sollen, kommst du um VLANs nicht herum. Ansonsten kann jeder Client aus den Netzen sich temporär eine IP aus dem anderen Netzwerk geben und dieses dann erreichen. Im Prinzip lässt sich das mit den VLANs einfacher bewerkstelligen. Du brauchst einen Switch der VLANs beherrscht und dann packst du einfach den Port vom Router, dem DSL Modem und deinen Clients die ins Internet sollen in ein VLAN, und die anderen Clients in das andere VLAN. So hast du die Netz getrennt und kannst dich freuen. Kann der Switch keine VLANs, hast du ein Problem. Routet dein Router denn das Netz 10.50.0.0 / 24? Wenn ja, musst du eigentlich nur Anfragen von 10.20.0.0 an 10.50.0.0 unterbinden. Also --source 10.20.0.0 / 24 und --destination 10.50.0.0 / 24 droppen. Umgekehrt ebenso.

Das wäre in etwa korrekt.

Mein Router bildet das Netz 10.20.0.0/24 ...

Ich formuliere es jetzt mal etwas anders: wele IPs das andere lokale Netz hat, soll egal sein.

Was ich möchte ist, das mein Router Anfragen auf jegliche private Netze (also z.B: 10.*.*.*, 192.168.*.*) unterbindet und nur Anfragen ins direkte Internet durchläßt.

Habs erhlich gesagt nicht richtig verstanden, aber suchst du etwa folgendes?



route add -net 10.0.0.0 netmask 255.0.0.0 reject
This installs a rejecting route for the private network "10.x.x.x."

Auszug aus 'man route'

Ja, das suche ich in etwa. Jetzt soll nur noch hinzukommen, dass der Netzwerkverkehr zu 10.20.0.0/24 erlaubt ist ...

Lese die Manpages von 'route'. Dort sollte alles zu finden sein, was du suchst.