Problem mit arno-iptables-firewal
Hallo Liste!
Hier[tm] steht eine Kiste mit Jessie, die u.a. als Router vom LAN zum
DSL-Internetzugang sowie als dazugehörige Firewall dient. Dabei hat sie
effektiv drei Netzwerk-Interfaces:
- eth0: zum lokalen LAN (10.1.0.0/16)
- ppp0: zum Internet (das DSL-Modem hängt physikalisch an eth1)
- tun0: ein OpenVPN-Server
Als Firewall läuft darauf bislang "arno-iptables-firewall", die
eigentlich nicht viel zu tun hat: Traffic vom LAN ins Internet "NATen",
aus dem Internet auf einigen festgelegten Ports Zugriffe auf den Server
zulassen sowie den Verkehr zwischen eth0 und tun0 zulassen. Die ersten
beiden Punkte funktionieren soweit wie gewünscht, lediglich beim dritten
Punkt habe ich jetzt auf die harte Tour[1] gemerkt, dass die Firewall
auch den Datenverkehr von und ins VPN NAT-maskiert - was so von mir
nicht gewünscht ist.
Die IMHO relevanten Einträge in
/etc/arno-iptables-firewall/firewall.conf sehen so aus:
| [...]
| INT_IF="eth0 tun0"
| INTERNAL_NET="10.1.0.0/16 10.2.0.0/16 10.255.1.0/24"
| NAT=1
| NAT_INTERNAL_NET="10.1.0.0/16"
| TRUSTED_IF="eth0 tun0"
| [...]
Die komplette Config habe ich hier hochgeladen:
http://suchanek.de/temp/firewall.conf (53kB)
Zur weiteren Erklärung: 10.2.0.0/16 ist der Adressbereichs eines zweiten
LANs, das über den OpenVPN-Tunnel mit dem Server verbunden ist,
10.255.1.0/24 ist das Transfernetz innerhalb von OpenVPN.
Wie kann ich nun erreichen, dass die Firewall den Verkehr in und aus dem
VPN *nicht* maskiert? Bzw., falls sich das arno-iptables-firewall-Skript
nicht dazu überreden lassen können sollte: welche andere Firewall-Lösung
aus den Debian-Repositories, das die o.g. Bedingungen erfüllt, könnt Ihr
empfehlen?
TIA,
Sebastian
Reply to: