IP-Tables inkl. cgi für 7270

Nein, wenn mein Kollege die Regeln auch eingibt, hat er überhaupt kein Zugriff mehr, auch nicht auf die Accept-Regeln, diese werden quasi komplett ignoriert.

Dein Kollege gibt als source Netz2 ein. Das ist dein Netz. Er will deine Anfragen, aus deinem Netz zulassen bzw. verbieten. Hast Du dann Zugriff nach seinen Regeln oder so als ob seine Regel nicht existieren würden?
 
ja genau die Source ist Netz2 bei ihm. Ich habe wenn die Regeln auf beiden Seiten greifen überhaupt keinen Zugriff auf sein Netz, sprich es scheint als würde die Drop-Regel greifen die Accept-Regel aber nicht. Ist es von Wichtigkeit in welcher Reihenfolge die Regeln eingetippt werden?
 
Ich habe wenn die Regeln auf beiden Seiten greifen überhaupt keinen Zugriff auf sein Netz, ... Ist es von Wichtigkeit in welcher Reihenfolge die Regeln eingetippt werden?
Was ist jetzt richtig, hast Du kein Zugang oder dein Kollege kein Zugang (siehe dein Beitrag #20). Wann hast Du kein Zugang und wann hat dein Kollege kein Zugang? Wann habt ihr beide kein Zugang? Ja, die Reihenfolge der Regeln ist wichtig.
 
ok dann fass ich nochmal ganz kurz zusammen:
- wenn auf beiden Seiten keine Regeln sind, dann funktioniert der beidseitige Vollzugriff einwandfrei
- wenn mein Kollege jetzt bei sich die Regeln einspielt, ich aber keine, dann ist sein Netzwerk geschützt und ich bekomm nur Zugriff auf die in den Acceptregeln definierten Geräte
- wenn ich die Regeln einspiele, mein Kollege keine benutzt, dann ist mein Netzwerk geschützt und er bekommt nur Zugriff auf die in den Acceptregeln definierten Geräte
- wenn wir beide jedoch die Regeln, die oben ja einzeln funktioniert haben, benutze dann kein keiner auf das andere Netz und keiner kann auch nicht die Acceptregeln des anderen nutzen, sprich alles ist geblockt, auch die Ausnahmen.
 
Du hast iptraf auf der Box. Schau mal mit iptraf welche Verbindungen zwischen den beiden Boxen zustande kommen, wenn alles richtig funktioniert (d. h. ohne iptables-Regeln auf den Boxen). Dann aktiviere die iptables-Regeln (mit -j LOG) auf einer der Boxen und schaue mit iptraf und den Log-Ergebnissen welche Verbindungen zustande kommen. Und als 3. Variante mit iptraf und aktivierten iptables-Regeln (inkl. -j LOG) auf beiden Boxen und schaue welche erforderliche Verbindungen warum nicht zustande kommen.

iptables-Regeln zusätzlich mit Log-target:
iptables -I INPUT 1 -s <NETZ1> -d <IpFritzboxNETZ2> -p tcp -m limit --limit 12/m --dport 81 -i tap0 -j LOG --log-prefix ***INPUT_ACCEPT:
iptables -I INPUT 2 -s <NETZ1> -d <NETZ2> -p all -m limit --limit 12/m -i tap0 -j LOG --log-prefix ***INPUT_DROP:
iptables -I INPUT 3 -s <NETZ1> -d <IpFritzboxNETZ2> -p tcp --dport 81 -i tap0 -j ACCEPT
iptables -I INPUT 4 -s <NETZ1> -d <NETZ2> -p all -i tap0 -j DROP
iptables -I FORWARD 1 -s <NETZ1> -d <IpGerät1NETZ2> -p tcp -m limit --limit 12/m --dport 80 -i tap0 -j LOG --log-prefix ***FORWARD_ACCEPT:
iptables -I FORWARD 2 -s <NETZ1> -d <NETZ2> -p all -m limit --limit 12/m -i tap0 -j LOG --log-prefix ***FORWARD_DROP:
iptables -I FORWARD 3 -s <NETZ1> -d <IpGerät1NETZ2> -p tcp --dport 80 -i tap0 -j ACCEPT
iptables -I FORWARD 4 -s <NETZ1> -d <NETZ2> -p all -i tap0 -j DROP
 
sorry, dass es etwas gedauert hat, wir konnten das Ganze aber erst heute testen. Der große Erfolg blieb jedoch aus. Mit IpTraf sind einige Verbindungen auf dem Interface tap0 zu sehen und bei DSL mit den externen IP-Adressen. Die angelegten Logdateien werden irgendwie überhaupt nicht gefüllt,obwohl in IpTraf Traffic zu sehen ist. Wir können aus den ganzen Test also nicht sagen warum es erst geht wenn einer die Regeln drin hat und wenn beide diese drin haben dann aufeinmal alles geblockt wird und nichts mehr akzeptiert wird. Irgendwie scheint der Weg blockiert zu sein. Wie verhält es sich mit der Reihenfolge der Regeln?
 
Wie verhält es sich mit der Reihenfolge der Regeln?
Die einzelnen Regel jeder Regelkette werden der Reihe nach abgearbeitet. Wenn eine Regel auf das Paket zutrifft, wird akzeptiert oder abgelehnt und die Kette verlassen (bei LOG nicht). Eine allgemeine Regel weiter oben, kann eine spezielle Regel weiter unten, nicht zur Anwendung kommen lassen.
 
zuerst einmal vielen Dank an sf3978 für seine ausdauernde Mühe zur Findung einer Lösung des Problems.
Wir sind jetzt zum Endschluss gekommen, dass auf dem Rückweg (von Remoterechner zum Localrechner) die Informationen wohl auf einem x-beliebigen Port versendet werden, dieser aber durch die Regel dann geblockt wird und so nichts zu sehen ist.
Als Lösung sehen wir nur die folgende Regel, die alle Ports, die zu blocken sind, expliziet aufführt und blockt.
Code:
iptables -A FORWARD  -s SourceNetz -d DestinationNetz -p tcp -m multiport --dport AuflistungDerPorts -i tap0  -j DROP
Falls jemand die oben angestrebte Lösung vielleicht mal realisieren sollte kann er dies ja hier reinschreiben.
 
Stellt ihr das alles bereits über nen CGI ein oder iss das gerade Offtopic alles?
Ich durchschaue das grad nicht so...
 
Nein das wird alles auf der Console eingegeben weil es ja noch kein cgi gibt von daher wäre es genau genommen offtopic aber trotzdem interessant ;-)
 
Ahh...ok...hatte schon irgendwie gedacht ich blick grad was nicht ;-) Danke
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.