Anzeige:
Ergebnis 1 bis 5 von 5

Thema: iptables problem in sehr komischem netzwerk

  1. #1
    Registrierter Benutzer
    Registriert seit
    Jul 2003
    Beiträge
    133

    iptables problem in sehr komischem netzwerk

    hi ...

    ich hab hier grad ein riesen problem in meinem vermurksten netzwerkaufbau. als erstes mal der netzwerkaufbau, und was funktioniert:

    wlan router > 192.168.2.197
    wlan client > 192.168.2.187
    server intern > 192.168.0.1
    server extern (verbindung nur zum wlan router) > 192.168.2.197
    lan client > 192.168.0.3

    es funktionieren:
    lan client > server intern
    lan client > server intern > server extern > wlan router > internet
    lan client > server intern > server extern > wlan router > wlan client
    wlan client > wlan router > server extern > server intern > lan client
    wlan client > wlan router > server extern > wlan router > internet

    es funktionieren nicht:
    wlan client > wlan router > server extern > server intern
    wlan client > wlan router > server extern

    beschreibung wie es funktionieren sollte:

    der wlan router, der direkt am inet haengt, und alle verbindungen auf 192.168.2.197 (eth0 vom interanet router) weiterleitet - der wlan router hat 192.168.2.1. jetzt will ich, dass der wlan client mit 192.168.2.187 mit 192.168.2.197 als router eingetragen sowohl ins interne netzwerk (also eth1 auf 192.168.2.197 mit der addresse 192.168.0.1) als auch ins internet (also der weg des pakets waere dann wlan > wlan router > 192.168.2.197 > wlan router > inet

    jetzt siehts aber so aus, dass ich vom internen netzwerk 192.168.0.1 auf 192.168.2.197 aufn wlan router ins internet komm - vom wlan client aus komm ich ueber 192.168.2.197 auf 192.168.0.1 ins interne netzwerk - aber weder auf 192.168.2.197 noch auf 192.168.0.1 direkt - ueber 192.168.2.197 wieder zum wlan router ins inet geht vom wlan client aus auch

    hier noch meine iptables:
    Code:
    *nat
    :PREROUTING ACCEPT [3139:358316]
    :POSTROUTING ACCEPT [1178:71866]
    :OUTPUT ACCEPT [1178:71866]
    # bevor das routing greift, zugriffe auf port 980 auf eine andere ip umlenken
    # sog. port forwarding oder auch destination nat
    -A PREROUTING -p tcp -m tcp -i eth0 -s 192.168.2.1 --dport 2222 -j DNAT --to 192.168.0.7:22
    -A PREROUTING -p tcp -m tcp -i eth0 -s 192.168.2.1 --dport 80 -j DNAT --to 192.168.0.7:80
    
    -A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth0 -j MASQUERADE
    
    COMMIT
    
    *mangle
    :PREROUTING ACCEPT [1247839:212717500]
    :INPUT ACCEPT [1235906:208386133]
    :FORWARD ACCEPT [11922:4322256]
    :OUTPUT ACCEPT [1234035:231190960]
    :POSTROUTING ACCEPT [1245957:235513216]
    COMMIT
    
    
    *filter
    :INPUT ACCEPT [0:0]
    :FORWARD ACCEPT [0:0]
    :OUTPUT ACCEPT [0:0]
    
    # loopback interface, mu� erlaubt werden!
    -A INPUT -i lo -j ACCEPT
    
    # anzubietende dienst explizit freischalten
    -A INPUT -i eth0 -p tcp -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
    -A INPUT -i eth0 -p tcp -m tcp --dport 80 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
    -A INPUT -i eth0 -p tcp -m tcp --dport 2222 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
    
    
    # gueltige verbindungen von aussen zulassen
    # d.h. es werden nur pakete durchgelassen, die zu bestehenden verbindungen geh�ren
    # ein verbindungsaufbau von aussen wird nicht zugelassen
    -A INPUT -i eth0 -s 192.168.2.1 -m state --state RELATED,ESTABLISHED -j ACCEPT
    
    # alles andere verwerfen
    -A INPUT -i eth0 -j REJECT
    -A INPUT -i eth1 -j ACCEPT
    -A INPUT -s 192.168.2.187 -j ACCEPT
    
    #forwarding �ber eth1 und ppp0 ist erlaubt
    -A FORWARD -i eth1 -j ACCEPT
    -A FORWARD -i eth0 -j ACCEPT
    
    
    #ausgehende verbindungen auf allen interfaces sind erlaubt
    -A OUTPUT -o lo -j ACCEPT
    -A OUTPUT -o eth1 -j ACCEPT
    -A OUTPUT -o eth0 -j ACCEPT
    
    COMMIT

  2. #2
    Moderat0r Avatar von geronet
    Registriert seit
    May 2001
    Ort
    Grainau
    Beiträge
    6.099
    Hallo, kannst du mal eine Zeichnung machen? Sonst ist das Fehlersuchen ziemlich schwer.

    Grüsse, Stefan
    Nur Puffin verleiht dir die Kraft und Ausdauer die du brauchst!

  3. #3
    Registrierter Benutzer
    Registriert seit
    Jul 2003
    Beiträge
    133
    hmja gut ... ich glaub ich bau lieber das ganze netzwerk um nett

  4. #4
    Moderat0r Avatar von geronet
    Registriert seit
    May 2001
    Ort
    Grainau
    Beiträge
    6.099
    Ist ja nur freundlich gemeint, warscheinlich fehlt dir nur eine Route, aber das ist per Beschreibung schwer herauszufinden.
    Und bevor ich bzw. jemand anderes eine eigene Skizze macht und diese dann noch falsch ist hau du sie lieber rein
    Nur Puffin verleiht dir die Kraft und Ausdauer die du brauchst!

  5. #5
    Moderator
    Registriert seit
    May 2002
    Ort
    Dortmund
    Beiträge
    1.407
    Ja bau es am besten um. Wenn ich das im Quick-View richtig gesehen habe, benutzt Du zweimal die gleiche IP-Adresse. Das ist nicht wirklich gut.

    Harry
    Wer einen Fehler findet, der darf ihn gerne behalten ;)
    http://harry.homelinux.org - iptables Generator & mehr

Ähnliche Themen

  1. probleme mit meinen router - iptables
    Von Trikolon im Forum Router und Netzaufbau
    Antworten: 2
    Letzter Beitrag: 11.10.03, 23:55
  2. iptables forwarding
    Von Mathew im Forum Sicherheit
    Antworten: 6
    Letzter Beitrag: 22.05.03, 10:28
  3. von aussen kein zugriff auf http ??? warum
    Von sheinatz im Forum Router und Netzaufbau
    Antworten: 10
    Letzter Beitrag: 13.01.03, 11:46
  4. Firewallscript unter IP Tables
    Von feelgood im Forum Router und Netzaufbau
    Antworten: 0
    Letzter Beitrag: 07.01.03, 15:26
  5. FW für Debian 3.0
    Von tantalus im Forum Sicherheit
    Antworten: 11
    Letzter Beitrag: 18.11.02, 16:08

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •