Servus!

Jetzt hab ich auch meine ersten erfolgreichen Routingversuche hinter mir, brauche aber bei der Firewall noch eure Hilfe:
Folgende Ausgangsstuation:
ADSL -> HW-Router (vom Provider) -> "äußeres Subnetz" -> Linux-Router -> 3 Subnetze.

Das Routing funktioniert leider zu gut: Die 3 Subnetze sollen gegenseitig nicht geroutet werden und ins außere Subnetz soll nur der Linux-Router dürfen (Abrechnung läuft über Linux-Router).
Kann mir da jemand mit ein paar iptables-Regeln auf die Sprünge helfen? :rolleyes:
Die 3 Subnetze sind:
192.168.10.0/24
192.168.11.0/24
192.168.12.0/24
Der Router hat jeweils 192.168.x.254
Das außere Subnetz hat 192.168.1.0/24.

Wer kann & mag helfen?

Danke!

Grüße, Stefan

Anscheinend hast du einen Router mit 4 Netzwerkkarten, ich würde da immer mit den Interfaces unterscheiden, dann kann nichts schiefgehen:
(angenommen eth0 hat Subnetz 10.0, eth1 hat 11.0, eth2 hat 12.0 und eth3 hat 1.0)

# erstmal die Subnetze untereinander verbieten
iptables -A forward -i eth0 -o eth1 -j REJECT
iptables -A forward -i eth0 -o eth2 -j REJECT

iptables -A forward -i eth1 -o eth0 -j REJECT
iptables -A forward -i eth1 -o eth2 -j REJECT

iptables -A forward -i eth2 -o eth0 -j REJECT
iptables -A forward -i eth2 -o eth1 -j REJECT

# dann per ip's das letzte Subnetz trennen
iptables -A forward -i eth0 -d 192.168.1.0/24 -j REJECT
iptables -A forward -i eth1 -d 192.168.1.0/24 -j REJECT
iptables -A forward -i eth2 -d 192.168.1.0/24 -j REJECT

<kurzversion>
Einfacher ginge es auch damit:
iptables -A forward -i eth0 -d 192.168.0.0/255.255.0.0 -j REJECT
iptables -A forward -i eth1 -d 192.168.0.0/255.255.0.0 -j REJECT
iptables -A forward -i eth2 -d 192.168.0.0/255.255.0.0 -j REJECT
</kurzversion>

Mit INPUT und OUTPUT kannste dich ja spielen..

Grüsse, Stefan

edit: "Microsoft Cordless Wheel Mouse" <-- die hab ich sogar:p

Servus!

Danke für die promte Hilfe. :D
Nur sind in dem Router nicht 4, sondern nur 2 Karten, da die Subnetze nicht physikalisch getrennt sind, es ist ein großes, verästetes Netz.
Die Subnetze dienen nur zur Trennung des Datenverkehrs, die Sicherheitsbedenken lassen wir in diesem Fall einmal bei Seite.
Ich werde anstatt der Interfaces einmal mit den Subnetzen herumprobieren.

Grüße, Stefan

PS: Diesen Router hab ich auch mit einer MS-Maus aufgesetzt - eignet sich sogar zum Fernwarten (bis ca 1,5m, dann ist der "Schwanz" aus :D) von Linux-Servern...

Servus!

Hat geklappt, die Netze sind dicht :D
Hab die Regeln mit Quell- und Zielnetz gesetzt, da ich nur 2 Nics habe.

Meine ersten positiven Erfahrungen mit den iptables... so arg wie es aussieht is es ja gar nicht :D

Danke!

Grüße, Stefan

wofür soll die

192.168.10.0/24

/24 stehen, dann hätte ich wahrscheinlch eine lösung gefunden mein script zum laufen zu bringen

bei mir sollen sie ja routen, tausch eich dannn reject gegen accept aus?

Servus!

Routing aktivierst du ja, wenn du ip_forward auf "1" setzt und eine iptables-Regel für Masquerading setzt. Das wirst du hier im Forum 1000fach finden.

Die oben genannten Firewallregeln sollen bewirken, dass zwischen den Subnetzen nicht geroutet wird, sondern nur der Router direkt in das oben beschriebene äußere Subnetz darf.

Wir haben hier 3 verschiedene Parteien, deren Netze getrennt sein sollen. Physikalisch ist das aufgrund der Netzstruktur nicht möglich, so muss das halt auf IP-Ebene passieren.

Grüße, Stefan