Re: Debian iptables und Freeswan/IPSec
On Wednesday 10 September 2003 08:52, Heiko Schlittermann wrote:
> On Wed, Sep 10, 2003 at 08:44:48AM +0200, Martin Heinrich wrote:
> > Hallo alle miteinander,
> >
> > Laptop- Client (debian unstable) 192.168.0.10 wlan0
> > /
> > /wlan mit vpn
> > /
> > Gateway- (debian unstable) 192.168.0.1 eth0
> > /
> > /isdn
> > /
> > Internet
>
> Die Clients haben doch nicht nur das wlan0, sondern auch
> ipsec0, ebenso wie der Server, oder?
Hast du natürlich vollkommen recht!
>
> Dann könnte es ganz grob etwa so aussehen:
>
>
> iptables -t nat -A POSTROUTING -o ippp0 -j MASQUERADE
>
> iptables -A FORWARD -i ipsec+ -o ippp0 -j ACCEPT
> iptables -A FORWARD -i ippp0 -m state --state ESTABLISHED,RELATED -o
> ipsec+ -j ACCEPT iptables -A FORWARD -j LOG --log-prefix "FW not forwarded:
> "
> iptables -A FORWARD -j DROP
>
>
> Damit dürfte, was über eth0 reinkommt und weiter forwardet werden will,
> einfach nicht forwardet werden.
>
>
> Best regards from Dresden
> Viele Gruesse aus Dresden
> Heiko Schlittermann
> --
> SCHLITTERMANN.de ------------------ internet & unix support -
> <a href="http://debian.schlittermann.de/"> Debian 3.x CD </a>
> Heiko Schlittermann HS12-RIPE -------------------------------
> pgp: A1 7D F6 7B 69 73 48 35 E1 DE 21 A7 A8 9A 77 92 -------
> gpg: 3061 CFBF 2D88 F034 E8D2 7E92 EE4E AC98 48D0 359B -----
Habs grad probiert und bin hin und weg!!! :-D
Das Problem mit dem Routing ins Internet nur über den VPN-Kanal scheint
gelöst! Vielen Dank!!!
Hast du zufällig auch ne Idee wie ich auf die serverdienste des Gateway
zugreifen kann? Das heisst bei bestehender vpn verbindung sowohl ins Internet
als auch auf 192.168.0.1 direkt zugreifen kann? macht er nur bei
deaktivierten ipsecs.
Komisch ist, wenn ipsec auf dem gateway aktiviert ist und ich per client eine
vpn verbindung hergestellt hatte, auf dem client dann ipsec stoppe kann ich
trotzdem keinen ping oder ssh usw. auf das gateway herstellen, ich muss dort
erst ipsec stoppen bevor ich wieder normal arbeiten kann? Weisst du warum?
und als letzte Frage... :-D
hab gemerkt das diese regeln leider nicht reichen um das Gateway von aussen
"unsichtbar" zu machen. d.h. eigentlich will ich sämtlichen Verkehr von
aussen auf das gateway unterdrücken und alle ports deaktivieren. auch alle
ports vom wlan bis auf vpn +ssl sollen vom internen bereich nicht benutzbar
sein.
Wenn du irgendwo nen guten deutschsprachigen Link hast, war ich dir auch sehr
dankbar...
Vielen Dank nochmal für deine Mühen, ich finds richtig klasse, dass das so
klappt mit den Mailing-Listen!
Cu.
Martin
Reply to: