Re: iptables Regel

To: debian-user-german@lists.debian.org
Cc: debian-user-german@lists.debian.org
Subject: Re: iptables Regel
From: Saskia Whigham <debianliste@gmx.de>
Date: Thu, 13 Oct 2005 19:17:03 +0200
Message-id: <[🔎] 434E968F.4040007@gmx.de>
In-reply-to: <[🔎] 20051013185759.644de2c3.delist@gmx.net>
References: <[🔎] 434E7417.7010102@gmx.de> <[🔎] 20051013150720.GA30294@webserv.wug-glas.de> <[🔎] 434E89CB.1000808@gmx.de> <[🔎] 20051013185759.644de2c3.delist@gmx.net>

Richard Mittendorfer schrieb:

Also sprach Saskia Whigham <debianliste@gmx.de> (Thu, 13 Oct 2005
18:22:35 +0200):

Andreas Kretschmer schrieb:
am  13.10.2005, um 16:49:59 +0200 mailte Saskia Whigham folgendes:
echo 1 > /proc/sys/net/ipv4/ip_forward für die Weiterleitung habe ichschon aktiviert der Rest funzt aber irgendwie nicht.


also gut. am router fuer das netzwerk ILAN hast du mal das forwarding
der packete ins ELAN organisiert. D.h packete werden hier durchgeworfen
(ohne NAT).

meine Variablen sind folgende:

internes Lan = ILAN
externes Lan = ELAN
internes Lan Interface = IINTER
externe Lan Interface = EINTER

ILAN="192.168.44.0/24
ELAN="192.168.43.0/24
IINTER="eth1"
EINTER="eth0"
GATEWAY="192.168.43.250"

der Gateway (Router vom ISP) steht hinter der Firewall. Das heisst derletzte Punkt vorm Internet.


das sagt mir hier gar nix. fuer die loesung sind route -n und ifconfig
der rechner brauchbar.

also angenommen dein netz sieht so aus:

INTERN---ROUTER------EXTERN-----INTERNET

192.168.44.0/24 INET
         192.168.44.xx } \
         192.168.43.xx } |-- darueber reden wir
                     192.168.43.0/24 ENET

192.168.43.250 = Router ins Internet

Was soll dan dieser Rechner mit den 2 Netzwerk-Karten? Dein Router sieht
nur das Netz 192.168.43.0/24, die Clients sind in 192.168.44.0/24.


Ich geh mal davon aus, dass Klienten an .43. (und .44.) sind. Du selbst
willlst aber Klienten aus INET (.44.) ins Netz verhelfen.

Also:
a) du schreibst deine internen Netzwerkanfragen am Router in (.43.)um

(NAT).b) du erlaubst .44. den Internetzugriff (am Router .43.250).

also nochmal. Es gibt drei Geräte. eine Firewall, ein Router vom ISP undden Client Rechner. Ich will kein Masquerade. Ich möchte eigentlich dasder Firewall Rechner als Router arbeitet also alle Pakete vom internenlan weiter an den ISP Router leitet und dieser sie dann ins Internet undwieder zurück. Quasi eigentlich nur ein Router mit iptables.


Du musst dir schon ueberlegen, wie die Firewall am (Zwischen-)
Router/Firewall aussehen soll. Am einfachsten, du NATest die
Verbindungen um als sicheren Punkt im ENET dem Router / der Firewall zu
vertrauen, so der Vorschlag von Andreas. Oder du erlaubst Klienten aus
dem INET den Zugang auf den Router (reines routing ohne NAT).

sl ritch


Oder du erlaubst Klienten aus
dem INET den Zugang auf den Router (reines routing ohne NAT).

Ja diese Lösung möchte ich. Also ohne NAT. wie müssen dann meine Regeln aussehen? Wie gesagtecho 1 > /proc/sys/net/ipv4/ip_forward ist eingeschaltet. Mir fehlen nur noch die Regeln für iptabels.


Also meine Clienten haben 192.168.44.0/24, meine Firewall hat auf eth1 192.168.44.1 und eth0 192.168.43.0/24, der Router vom ISP hat 192.168.43.250. Dieser Router vom ISP ist voll offen und man kann selber als Kunde auf diesem Router auch nichts einstellen deshalb möchte ich die Firewall.


Client(192.168.44.0/24)<----->Firewall(eth1 192.168.44.2)<----->Firewall(eht0 192.168.43.70)--->ISP Router(192.168.43.250)

und das ganze dann auch für die Antworten zurück. Danke für eure Hilfe

Reply to:

Follow-Ups:
- Re: iptables Regel
  - From: Richard Mittendorfer <delist@gmx.net>

References:
- iptables Regel
  - From: Saskia Whigham <debianliste@gmx.de>
- Re: iptables Regel
  - From: Andreas Kretschmer <akretschmer@despammed.com>
- Re: iptables Regel
  - From: Saskia Whigham <debianliste@gmx.de>
- Re: iptables Regel
  - From: Richard Mittendorfer <delist@gmx.net>

Prev by Date: Re: lpinfo: Kein Parallelport verfügbar
Next by Date: Re: iptables Regel
Previous by thread: Re: iptables Regel
Next by thread: Re: iptables Regel
Index(es):
- Date
- Thread