Ausnahme für iptables-Regel

[Brocki]

Hallo Zusammen,
wir haben bei uns eine Fedorakiste als Gateway und VPN-Router stehen. Diese macht auch NAT und fungiert auch als SQUID-Proxy.

Damit man von außerhalb auf eine interne Website kommt haben wir folgende ipTables-Regel:

Code:

-A PREROUTING -s 0.0.0.0/0.0.0.0 -p tcp --dport 443 -i ppp0 -j DNAT --to-destination 192.168.0.4
-A PREROUTING -s 0.0.0.0/0.0.0.0 -p udp --dport 443 -i ppp0 -j DNAT --to-destination 192.168.0.4

Hat Jemand eine Idee, wie ich von dieser Regel alle Pakete ausnehmen kann, die über eine VPN-Verbindung zum Netzwerk kommen. Oder sogar dafür sorgen kann, dass für diese Pakete gar keine Regeln mehr angewendet werden, sie also einfach nur weitergeleitet werden?
Das VPN wird über das gleiche Interface aufgebaut (Host 2 Network) und das externe Subnetz wäre 192.168.1.0/24.

Habe leider sehr wenig Erfahrung mit ipTabables daher hoffe ich auf einen Gedankenanstoß...

Vielen Dank,
Brocki

[honkstar]

Alaaf,

schreib einfach eine Regel, die die vpn-User betrifft *vor* die betreffenden Regeln, dann werden dievorher ausgewertet und wenn sie passen, hört die Abarbeitung auf

[michaxyz]

Hallo,

alternativ kannste beim Parameter -s ein "!" angeben, dann wird die Regel nur auf alle anderen IPs angewendet. S. man-page.

Mfg Michael

[Brocki]

Vielen Dank für eure Antworten!
Das mit dem -s !ADRESSE werde ich mir merken. Danke.

Wenn ich das Posting von honkstar richtig verstanden habe würde ein:

Code:

-A PREROUTING -s 192.168.1.0/24 -i ppp0 -j ACCEPT

ausreichen. Richtig?

Wie könnte ich generell VPN-Pakete in eine solche Regel packen, wenn diese über das gleiche Interface wie der Rest reinkommen und dazu von verschiedenen Subnetzen, die ich nicht genau kenne (z.B. 10.10 er Netz oder 192. usw.) sich per VPN-Verbinden. Das ist zwar im Moment nicht unbedingt nötig mich würde allerdings eine Idee / Lösung interessieren ...

Vielen Dank und schönen Abend noch!
Brocki

[honkstar]

Hallo,

ich glaube nicht, dass bei dir Pakete aus dem privaten Subnet 192.168.x.y auf deiner Schnittstelle ppp0 auftreffen.

Ein

Code:

-A PREROUTING -s 192.168.1.0/24 -i tunx ...

passt vermutlich besser.
Du kannst tunx verm. auch weglassen, das sollte trotzdem gehen.

erschiedenen Subnetzen, die ich nicht genau kenne (z.B. 10.10 er Netz oder 192. usw.) sich per VPN-Verbinden

das verstehe ich nicht ganz.
Du legst fest, welche IP das VPN hat ... und nicht andere. Welche Netze auf den anderen Netzwerkkarten in den VPN-Clients stecken, kann dir egal sein, ansonsten viel Spass beim Routen anpassen.
Was ist das denn für ein VPNß

[Brocki]

Hallo Zusammnen,
vollständigkeitshalber möchte ich hier dann doch noch erklären, wie ich es jetzt erstmal gemacht habe (hatte mich leider eben erst wieder rangesetzt):

Die VPN-Verbindung wird mit IPSec / Openswan über ppp0 aufgebaut. (über ppp0 geht der komplette Internetverkehr und auch noch 2 weitere feste VPN-Verbindungen)

Damit der "Roadwarrior" normal arbeiten konnte und nicht von den NAT- / IP-Forward-Regeln betroffen war, war folgendes nötig:

Code:

-A INPUT -s 192.168.1.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -s 192.168.0.0/255.255.255.0 -d 192.168.1.0/255.255.255.0 -o ppp0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -s 192.168.1.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -i ppp0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -s 192.168.0.0/255.255.255.0 -d 192.168.1.0/255.255.255.0 -o ppp0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
-A PREROUTING -s 192.168.1.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -j ACCEPT

Das ganze funktioniert jetzt eigentlich sehr zufriedenstellend. Leider bin ich mit den Regeln oben aber immer noch darauf angewiesen, dass der "Roadwarrior" eine IP aus dem Subnetz: 192.168.1.0/24 besitzt. Das könnte in Zukunft mal zu Problemen führen ...

Viele Grüße und vielen Dank für eure Hilfen!
Brocki