Re: Debian iptables und Freeswan/IPSec

To: debian-user-german@lists.debian.org
Subject: Re: Debian iptables und Freeswan/IPSec
From: Martin Heinrich <news8@gmx.de>
Date: Wed, 10 Sep 2003 11:21:38 +0200
Message-id: <[🔎] 200309101121.38195.news8@gmx.de>
In-reply-to: <[🔎] 20030910065251.GY19743@schlittermann.de>
References: <[🔎] 200309100844.48203.news8@gmx.de> <[🔎] 20030910065251.GY19743@schlittermann.de>

On Wednesday 10 September 2003 08:52, Heiko Schlittermann wrote:
> On Wed, Sep 10, 2003 at 08:44:48AM +0200, Martin Heinrich wrote:
> > Hallo alle miteinander,
> >
> > Laptop- Client (debian unstable) 192.168.0.10 wlan0
> > 	/
> > 	/wlan mit vpn
> > 	/
> > Gateway- (debian unstable) 192.168.0.1 eth0
> > 	/
> > 	/isdn
> > 	/
> > Internet
>
> Die Clients haben doch nicht nur das wlan0, sondern auch
> ipsec0, ebenso wie der Server, oder?

Hast du natürlich vollkommen recht!  

>
> Dann könnte es ganz grob etwa so aussehen:
>
>
>     iptables -t nat  -A POSTROUTING -o ippp0 -j MASQUERADE
>
>     iptables -A FORWARD -i ipsec+ -o ippp0 -j ACCEPT
>     iptables -A FORWARD -i ippp0 -m state --state ESTABLISHED,RELATED -o
> ipsec+ -j ACCEPT iptables -A FORWARD -j LOG --log-prefix "FW not forwarded:
> "
>     iptables -A FORWARD -j DROP
>
>
> Damit dürfte, was über eth0 reinkommt und weiter forwardet werden will,
> einfach nicht forwardet werden.
>
>
>     Best regards from Dresden
>     Viele Gruesse aus Dresden
>     Heiko Schlittermann
> --
>  SCHLITTERMANN.de ------------------ internet & unix support -
>  <a href="http://debian.schlittermann.de/";> Debian 3.x CD </a>
>  Heiko Schlittermann HS12-RIPE -------------------------------
>  pgp: A1 7D F6 7B 69 73 48 35  E1 DE 21 A7 A8 9A 77 92 -------
>  gpg: 3061 CFBF 2D88 F034 E8D2  7E92 EE4E AC98 48D0 359B -----

Habs grad probiert und bin hin und weg!!!  :-D
Das Problem mit dem Routing ins Internet nur über den VPN-Kanal scheint 
gelöst!  Vielen Dank!!!
Hast du zufällig auch ne Idee wie ich auf die serverdienste des Gateway 
zugreifen kann? Das heisst bei bestehender vpn verbindung sowohl ins Internet 
als auch auf 192.168.0.1 direkt zugreifen kann? macht er nur bei 
deaktivierten ipsecs.

Komisch ist, wenn ipsec auf dem gateway aktiviert ist und ich per client eine 
vpn verbindung hergestellt hatte, auf dem client dann ipsec stoppe kann ich 
trotzdem keinen ping oder ssh usw. auf das gateway herstellen, ich muss dort 
erst ipsec stoppen bevor ich wieder normal arbeiten kann? Weisst du warum?

und als letzte Frage... :-D

hab gemerkt das diese regeln leider nicht reichen um das Gateway von aussen 
"unsichtbar" zu machen. d.h. eigentlich will ich sämtlichen Verkehr von 
aussen auf das gateway unterdrücken und alle ports deaktivieren. auch alle 
ports vom wlan bis auf vpn +ssl sollen vom internen bereich nicht benutzbar 
sein.

Wenn du irgendwo nen guten deutschsprachigen Link hast, war ich dir auch sehr 
dankbar...

Vielen Dank nochmal für deine Mühen, ich finds richtig klasse, dass das so 
klappt mit den Mailing-Listen!

Cu.

Martin

Reply to:

Follow-Ups:
- Re: Debian iptables und Freeswan/IPSec
  - From: Christian Schubert <Parnassos@SAILHORSE.in-Berlin.de>

References:
- Debian iptables und Freeswan/IPSec
  - From: Martin Heinrich <news8@gmx.de>
- Re: Debian iptables und Freeswan/IPSec
  - From: Heiko Schlittermann <heiko@schlittermann.de>

Prev by Date: Verständnisfrage zum Thema Mailserver
Next by Date: RE: UDP-Port 135
Previous by thread: Re: Debian iptables und Freeswan/IPSec
Next by thread: Re: Debian iptables und Freeswan/IPSec
Index(es):
- Date
- Thread