Re: OT: Erreichbarkeit von Servern durch Lenny-Firewall

To: debian_user_german_liste <debian-user-german@lists.debian.org>
Subject: Re: OT: Erreichbarkeit von Servern durch Lenny-Firewall
From: Boris Höffgen <borish@hjdt.de>
Date: Wed, 10 Feb 2010 09:39:40 +0100
Message-id: <[🔎] 4B7270CC.5020101@hjdt.de>
In-reply-to: <[🔎] 4B726C68.7060200@cubewerk.de>
References: <[🔎] 4B6A86E0.1070405@hjdt.de> <[🔎] 4B6AB317.8040104@cubewerk.de> <[🔎] 4B718725.4090608@hjdt.de> <[🔎] 4B71982F.1090204@cubewerk.de> <[🔎] 4B726793.9000402@hjdt.de> <[🔎] 4B726C68.7060200@cubewerk.de>

Stefan Bauer schrieb:
> Boris Höffgen schrieb:
>> $IPTABLES -A FORWARD  -i eth1   -s 192.168.178.253   -j In_RULE_0
>
>> 10.0.0.0 ist das VPN-Netz
>> 132.195.8.0/27 ist das Hauptnetz
>> 132.195.6.226 ist ein Nebennetz
>> 192.168.1.178.0/24, dort hängt noch ein ADSL-Router
>
> Kann es sein, dass irgendwo eine Route falsch gesetzt ist? Ich seh
> z.B., dass ihr dem ADSL-Router erlaubt, über -A FORWARD -i eth1 -s
> 192.168.178.253 Pakete weiterzuleiten. Ist das so gewollt? Wie sieht
> denn eine Client-Konfiguration aus und wie unterscheidet ihr denn, was
> welchen Weg nimmt?
Ja, da das ADSL-GW ein dyndns-Account enthält und in der Zukunft als
Reserve-Einwahl fungieren soll.
>
> Eure Regeln sehen auch so aus, als wären Sie mit fwbuilder erstellt
> worden. In meinen Augen produziert diese Programm sehr unleserliche
> Regeln.
>
Korrekt, es gibt hier Administratoren, die gerne GUIs verwenden, in
diesem Fall den FwBuilder.
Nun zu Deiner Frage, die Clients werden noch umgeroutet, z.B. die IP
132.195.8.17:

ip rule add from 132.195.8.17 table SourceRouting
ip route add default via 192.168.178.1 dev eth2 table SourceRouting
# Aussnahmen
# SSH über SDSL
iptables -A PREROUTING -t mangle -i eth0 -p tcp --dport 22 -j MARK
--set-mark 1
ip route add default via 132.195.3.105 dev eth1 table ssh
ip rule add from all fwmark 1 table ssh
#
ip route flush cache

-----------------
route -n liefert:

132.195.6.226     0.0.0.0         255.255.255.255 UH    0      0       
0 eth0
132.195.3.104     0.0.0.0         255.255.255.252 U     0      0       
0 eth1
132.195.8.0       0.0.0.0         255.255.255.224 U     0      0       
0 eth0
192.168.178.0   0.0.0.0         255.255.255.0   U     0      0        0 eth2
10.0.0.0        0.0.0.0         255.255.255.0   U     0      0        0 tun0
0.0.0.0         132.195.3.105     0.0.0.0         UG    0      0       
0 eth1
------------------
ip route list liefert:

132.195.6.226 dev eth0  scope link
132.195.3.104/30 dev eth1  proto kernel  scope link  src 132.195.3.106
132.195.8.0/27 dev eth0  proto kernel  scope link  src 132.195.8.1
192.168.178.0/24 dev eth2  proto kernel  scope link  src 192.168.178.253
10.0.0.0/24 dev tun0  scope link
default via 132.195.3.105 dev eth1

Gruß
Boris

Reply to:

Follow-Ups:
- Re: OT: Erreichbarkeit von Servern durch Lenny-Firewall
  - From: Stefan Bauer <stefan.bauer@cubewerk.de>

References:
- OT: Erreichbarkeit von Servern durch Lenny-Firewall
  - From: Boris Höffgen <borish@hjdt.de>
- Re: OT: Erreichbarkeit von Servern durch Lenny-Firewall
  - From: Stefan Bauer <stefan.bauer@cubewerk.de>
- Re: OT: Erreichbarkeit von Servern durch Lenny-Firewall
  - From: Boris Höffgen <borish@hjdt.de>
- Re: OT: Erreichbarkeit von Servern durch Lenny-Firewall
  - From: Stefan Bauer <stefan.bauer@cubewerk.de>
- Re: OT: Erreichbarkeit von Servern durch Lenny-Firewall
  - From: Boris Höffgen <borish@hjdt.de>
- Re: OT: Erreichbarkeit von Servern durch Lenny-Firewall
  - From: Stefan Bauer <stefan.bauer@cubewerk.de>

Prev by Date: Re: OT: Erreichbarkeit von Servern durch Lenny-Firewall
Next by Date: Re: OT: Erreichbarkeit von Servern durch Lenny-Firewall
Previous by thread: Re: OT: Erreichbarkeit von Servern durch Lenny-Firewall
Next by thread: Re: OT: Erreichbarkeit von Servern durch Lenny-Firewall
Index(es):
- Date
- Thread