[gelöst] IP Tables Problem, blockt Ping nicht

[3dfxatwork]

Hallo

ich bin gerade etwas verwundert, ich hab mal bissel was an meiner Box rumspielen wollen. Habe in der Box "Alle PC in einem Netzwerk" und "Inet über LAN A" als Client mit fester IP. Nun habe ich über ssh folgendes erstellt:

iptables -A INPUT  -p tcp -i lan --dport 22 -d 1.1.1.1 -s 1.1.1.0/24 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT 
iptables -A OUTPUT -p tcp -o lan --sport 22 -s 1.1.1.1 -d 1.1.1.0/24 -m state --state ESTABLISHED,RELATED -j ACCEPT

Damit ich auch noch über ssh ran komme, (ips sind fürs Forum geändert) und noch Folgendes eingestellt:

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

So ich habe die Box mit LAN A am Switch, und daran hängt Rechner A, am Lan B der Box hängt Rechner B, im gleiches IP Adress bereich, lustigerweise kommt ein Ping von Rechner A an B und auch umgekehrt, das dürfte doch eigentlich nicht sein oder hab ich jetzt nen Denkfehler ?

 iptables -A INPUT -j DROP
 iptables -A OUTPUT -j DROP
 iptables -A FORWARD -j DROP

Auch dies Funktioniert nicht, habe vor allem auch ein

iptables -F

gemacht, sodass keine anderen Regeln mehr drin sind.

Aber eins funktioniert von der Box oder zu der Box funktioniert nur noch SSH, wie auch in den Regeln festgelegt.

Danke für eure Antworten.

MFG Matthias

 

[x1jmp]

Iptables sollte darauf nicht reagieren, da bei "Alle Computer befinden sich im selben IP-Netzwerk" der Switch umgeschaltet wird und die Box nichts mehr von den verschiedenen Ethernet-Ports mitbekommt.
Mehr dazu steht im Wiki.
Vielleicht genügt es schon, die Option zu deaktivieren (und allen Rechnern dasselbe Subnetz zuzuweisen).

Sollte nicht auch die Fritz!Box-Firewall den Zugriff vom Internet (also LAN A) auf das interne LAN verhindern?

 

[3dfxatwork]

Achso, ok irgendwie hab ich gedacht mal gelsen zu haben das meine 7050 noch 2 ethernet Controller haben soll, aber anscheinend is dann bei mir auch nur nen Switch drin. Kann mir vielleicht einer sagen wo der switch auf dem pic zu suchen ist?

Nee die Box läuft im IP Client modus, da is nix mit firewall, falls da ein switch drin is arbeitet dieser dann immer noch im "normal" modus, diesen Client Modus kann man allerdings nur einstellen wenn man denn dummen hacken bei "Alle Computer im gleichen Netz" drin hat. Deswegen wollte ich mit iptables die beiden interfaces trennen, (ich wurde aber schon stutzig dass es nich geht wenn ich alles blockiere) da ich dachte die werden nur auf Layer 3 zusammengeschaltet, und nicht über nen Layer 2 verbunden sind.

PS Den Artikel hatt ich schon gelesen, hab aber gedacht der Trifft für mich nicht zu.

Edit: hab das Tool mal ausprobiert, aber es kommt immer nur

ioctl: Operation not supported

wenn ich cpmaccfg gsm oder gsmc eingebe

MFg Matthias

 

[x1jmp]

Achso, ok irgendwie hab ich gedacht mal gelsen zu haben das meine 7050 noch 2 ethernet Controller haben soll, aber anscheinend is dann bei mir auch nur nen Switch drin.

Ich habe nochmal bei meiner Fon 5050 Box nachgesehen, dort erscheinen beide Schnittstellen im Kernel.
Der Switch scheint wohl doch nur bei den neueren Boxen (mit 4 Ports) verbaut zu sein.

Allerdings richtet die Box die Netzwerkbrücke lan ein und verbindet damit auch wieder die vorhandenen Anschlüsse zu einem...
Wahrscheinlich kommen die Pakete über die Brücke gar nicht bis zu iptables. Möglicherweise kommen sie auch nur bis zu PREROUTING. Hast du mal versucht, Regeln mit z. B. -i eth0 und -o eth1 zu definieren?
Ich bin auf einen ähnlichen Thread gestoßen, nach einer passenden Lösung sieht es dort jedoch auch nicht aus.

 

[3dfxatwork]

K danke, hab es so gemacht wie es der 1. beschrieben hat und dann mit iptables alle routen unterdrückt, so dass ich jetzt lan b mit wlan verbunden hab und lan a als webzugang für die box fürs voip.

MFG Matthias