✔ IPTABLES und Enforced Path

PhoenixDH · 27. Januar 2006

Wie kann ich mit IPTABLES den Enforced Path einrichten, sprich das die Firewall die Verbindung zu 192.168.1.2 nur von 192.168.11.99 zulässt ? Hinweis: Der Firewall-Rechner routet gleichzeitig.

Danke für eure Hilfe.

Dennis Wronka · 27. Januar 2006

Zum Beispiel so:

Code:

iptables -A INPUT -d 192.168.1.2 -s ! 192.168.11.99 -j DROP

So werden alle Pakete zu 192.168.1.2 gedroppt die nicht von 192.168.11.99 kommen.

Aber wofuer schreibe ich eigentlich ein Tutorial namens "Firewalling mit IPTables/Netfiter" wenn es zwar gelesen wird aber das dort vermittelte Wissen nicht genutzt wird.

Sinac · 27. Januar 2006

Dennis Wronka hat gesagt.:
Aber wofuer schreibe ich eigentlich ein Tutorial namens "Firewalling mit IPTables/Netfiter" wenn es zwar gelesen wird aber das dort vermittelte Wissen nicht genutzt wird.

Glaub mir, ich weiß wie du dich fühlst

Ist übrigends klasse geworden, hatte deine Vorabversion leider erst zu Ende gelesen als du es schon gepostet hattest.

Greetz...
Sinac

Dennis Wronka · 28. Januar 2006

Sinac hat gesagt.:
Glaub mir, ich weiß wie du dich fühlst Ist übrigends klasse geworden, hatte deine Vorabversion leider erst zu Ende gelesen als du es schon gepostet hattest.

Greetz...
Sinac

Vielen Dank fuer die Blumen.

PhoenixDH · 30. Januar 2006

Dennis Wronka hat gesagt.:
Zum Beispiel so:

Code:

iptables -A INPUT -d 192.168.1.2 -s ! 192.168.11.99 -j DROP

So werden alle Pakete zu 192.168.1.2 gedroppt die nicht von 192.168.11.99 kommen. ...

Dank dir, und wie müsste es aussehen das die Firewall auch nur Pakete von 192.168.1.2 an 192.168.11.99 durchlässt, sonst an keinen Rechner? So?

Code:

iptables -A OUTPUT -d ! 192.168.11.99 -s 192.168.1.2 -j DROP

Dank dir !

Dennis Wronka · 30. Januar 2006

Nicht ganz. Du willst ja einschraenken, dass nur 192.168.1.2 an 192.168.11.99 senden kann.
Es muss also so aussehen:

Code:

iptables -A OUTPUT -d 192.168.11.99 -s ! 192.168.1.2 -j DROP

PhoenixDH · 30. Januar 2006

Dank dir, aber ich musste es in die FORWARD Chain reinmachen, da es ja nicht für den Rechner bestimmt ist!

Dennis Wronka · 31. Januar 2006

Ach ja, da hatte ich irgendwie garnicht dran gedacht.
Peinlich, erst ein ellenlanges Tutorial schreiben und dann selbst nicht dran halten.

PhoenixDH · 14. Februar 2006

So, muss das Thema nochmal aufrollen!

Hab jetzt ein Problem, das mit dem Enforced Path klappt soweit, ich kann nur von dem einen Rechner auf die Schnittstelle drauf, aber in umgekehrter Richtung, kann ich nix mehr machen, net mal nen PING!

Die Regel sieht so aus:

Code:

iptables -A FORWARD -s ! 192.168.11.99 -d 192.168.1.2  -j DROP

Wie kann ich das dann machen, kann ich da noch nen Port oder so einbauen?
Sagen wir, die Regel soll nur für den HTTP Port gelten!

Dank euch, is wichtig!

Dennis Wronka · 14. Februar 2006

Schau einfach mal in mein Tutorial, da hab ich einen guten Haufen Optionen von IPTables umfangreich erklaert. Anhand dessen solltest Du das hinkriegen.

Kleiner Tipp: Fuer Ports gibt es --sport und --dport

✔ IPTABLES und Enforced Path

PhoenixDH

Erfahrenes Mitglied

Dennis Wronka

Soulcollector

Sinac

Erfahrenes Mitglied

Dennis Wronka

Soulcollector

PhoenixDH

Erfahrenes Mitglied

Dennis Wronka

Soulcollector

PhoenixDH

Erfahrenes Mitglied

Dennis Wronka

Soulcollector

PhoenixDH

Erfahrenes Mitglied

Dennis Wronka

Soulcollector

Neue Beiträge