Re: OT: Erreichbarkeit von Servern durch Lenny-Firewall
Stefan Bauer schrieb:
> Boris Höffgen schrieb:
>> $IPTABLES -A FORWARD -i eth1 -s 192.168.178.253 -j In_RULE_0
>
>> 10.0.0.0 ist das VPN-Netz
>> 132.195.8.0/27 ist das Hauptnetz
>> 132.195.6.226 ist ein Nebennetz
>> 192.168.1.178.0/24, dort hängt noch ein ADSL-Router
>
> Kann es sein, dass irgendwo eine Route falsch gesetzt ist? Ich seh
> z.B., dass ihr dem ADSL-Router erlaubt, über -A FORWARD -i eth1 -s
> 192.168.178.253 Pakete weiterzuleiten. Ist das so gewollt? Wie sieht
> denn eine Client-Konfiguration aus und wie unterscheidet ihr denn, was
> welchen Weg nimmt?
Ja, da das ADSL-GW ein dyndns-Account enthält und in der Zukunft als
Reserve-Einwahl fungieren soll.
>
> Eure Regeln sehen auch so aus, als wären Sie mit fwbuilder erstellt
> worden. In meinen Augen produziert diese Programm sehr unleserliche
> Regeln.
>
Korrekt, es gibt hier Administratoren, die gerne GUIs verwenden, in
diesem Fall den FwBuilder.
Nun zu Deiner Frage, die Clients werden noch umgeroutet, z.B. die IP
132.195.8.17:
ip rule add from 132.195.8.17 table SourceRouting
ip route add default via 192.168.178.1 dev eth2 table SourceRouting
# Aussnahmen
# SSH über SDSL
iptables -A PREROUTING -t mangle -i eth0 -p tcp --dport 22 -j MARK
--set-mark 1
ip route add default via 132.195.3.105 dev eth1 table ssh
ip rule add from all fwmark 1 table ssh
#
ip route flush cache
-----------------
route -n liefert:
132.195.6.226 0.0.0.0 255.255.255.255 UH 0 0
0 eth0
132.195.3.104 0.0.0.0 255.255.255.252 U 0 0
0 eth1
132.195.8.0 0.0.0.0 255.255.255.224 U 0 0
0 eth0
192.168.178.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2
10.0.0.0 0.0.0.0 255.255.255.0 U 0 0 0 tun0
0.0.0.0 132.195.3.105 0.0.0.0 UG 0 0
0 eth1
------------------
ip route list liefert:
132.195.6.226 dev eth0 scope link
132.195.3.104/30 dev eth1 proto kernel scope link src 132.195.3.106
132.195.8.0/27 dev eth0 proto kernel scope link src 132.195.8.1
192.168.178.0/24 dev eth2 proto kernel scope link src 192.168.178.253
10.0.0.0/24 dev tun0 scope link
default via 132.195.3.105 dev eth1
Gruß
Boris
Reply to: