iptables Einstellungen wirkungslos?

rapt0r

Neuer User
Mitglied seit
31 Mrz 2008
Beiträge
60
Punkte für Reaktionen
0
Punkte
0
Hallo,

Momentan stehe ich wohl aufm Schlauch. Bitte erbarmt euch meiner.
Ich möchte verhindern, dass venus 192.168.200.2 anpingen kann. Später möchte ich noch mehr verbieten. Grundsätzlich läuft es darauf hinaus, dass ein bestimmter Client im WLAN keinen Zugriff auf meinen VPN-Tunnel haben soll.

Ich habe die Regeln per GUI 1.0.4 erstellt.
Das der icmp-echo-request von venus nach 192.168.200.2 funktioniert aber mit meinen unten aufgelisteten Einstellungen immernoch. Was mach ich falsch?

iptables v1.4.1.1
"iptables -L" liefert:
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP icmp -- venus 192.168.200.2

Chain FORWARD (policy ACCEPT)
target prot opt source destination
DROP icmp -- venus 192.168.200.2

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
DROP icmp -- venus 192.168.200.2

Ich benutze freetz-trunk 2647 auf einem gefritzten Speedport W701V.
Vielen Dank.
 
Zuletzt bearbeitet:

rapt0r

Neuer User
Mitglied seit
31 Mrz 2008
Beiträge
60
Punkte für Reaktionen
0
Punkte
0
Kann mir denn keiner einen Hinweis geben?
 

olistudent

IPPF-Urgestein
Mitglied seit
19 Okt 2004
Beiträge
14,779
Punkte für Reaktionen
10
Punkte
38
Schau dir mal die Zähler für die Chains an. Kommen die Pakete überhaupt da hin? Manchmal funkt da der dsld dazwischen.

MfG Oliver
 

rapt0r

Neuer User
Mitglied seit
31 Mrz 2008
Beiträge
60
Punkte für Reaktionen
0
Punkte
0
Danke für die Antwort.
Der Speedport läuft als NAT-Router im IP-Mode. Also die WAN-LED leuchtet.
Seltsam ist, wenn ich im GUI für iptables die Ip des Routers 192.168.60.1 angebe, kommt folgendes bei raus:

Chain FORWARD (policy ACCEPT)
target prot opt source destination
DROP icmp -- venus 192.168.50.254

Der 50.254 ist der Router in dessen Subnetz der Speedport hängt und der als DHCP fungiert.
Von venus kann ich trotzdem den 50.254 anpingen.

Chain FORWARD (policy ACCEPT 2114K packets, 668M bytes) steht im GUI und darunter die obige Drop-Regel.


EDIT:
Ich habs.
Wenn ich als Interface statt "any" "lan" angebe funktioniert es. Analog für Regeln im Wlan muss ich wohl "tiwlan0" angeben?
Fragt sich wozu die Funktion "any" da ist?

EDIT2:
Offensichtlich muss das Interface angegeben werden, in dem sich der Client befindet, für welchen die Reglementierung gelten soll.

Ich weiß aber nicht wie ich es anstellen soll, dass ein bestimmer WLAN-Teilnehmer den Tunnel zwischen den beiden Speedport's nicht nutzen kann. Die tun0 interfaces haben die IP's 200.1 und 200.2. Wie kann ich es anstellen, dass der Iptables alle Pakete vom Teilnehmer X an das Subnet 200.0 verwirft?
 
Zuletzt bearbeitet:

McNetic

Mitglied
Mitglied seit
7 Feb 2007
Beiträge
674
Punkte für Reaktionen
0
Punkte
16
Ich weiß aber nicht wie ich es anstellen soll, dass ein bestimmer WLAN-Teilnehmer den Tunnel zwischen den beiden Speedport's nicht nutzen kann. Die tun0 interfaces haben die IP's 200.1 und 200.2. Wie kann ich es anstellen, dass der Iptables alle Pakete vom Teilnehmer X an das Subnet 200.0 verwirft?
Ich schätze mal im Prinzip so:

Code:
iptables -A forward -i tiwlan0 -s venus -d 192.168.200.0/24 -j DROP
 

rapt0r

Neuer User
Mitglied seit
31 Mrz 2008
Beiträge
60
Punkte für Reaktionen
0
Punkte
0
Geschafft!

Danke für eure große Hilfe. Endlich geht's!
Es funktioniert via manuelle Eingabe, da die GUI immer ein Protokoll im Pulldown-Menu verlangt:

Um den Zugriff von "venus" auf den
lokalen VPN-Tunnel-Endpunkt (VPN-Client) zu verweigern:
Code:
iptables -A INPUT -s venus -d 192.168.200.0/24 -j DROP
Um den Zugriff von "venus" auf den
entfernten VPN-Tunnel-Endpunkt (VPN-Server) zu verweigern:
Code:
iptables -A FORWARD -s venus -d 192.168.200.0/24 -j DROP
Um den Zugriff von "venus" auf das
entfernte Netz (auf das der VPN-Server routet) zu verweigern:
Code:
iptables -A FORWARD -s venus -d 192.168.178.0/24 -j DROP
Fazit: Im Protokoll Pulldown-Menu sollte noch ein "all" auswählbar sein. Ausserdem gibt es ja deutlich mehr Protokolle als nur TCP, UDP und ICMP.
Eventuell liegt das auch am iptables-cgi 1.0.4 oder an den Modulen ip_tables und oder ip_conntrack version 2.1. Brauch ich zusätzliche Module?
 

rapt0r

Neuer User
Mitglied seit
31 Mrz 2008
Beiträge
60
Punkte für Reaktionen
0
Punkte
0
Bemerkung: Wenn ich das wlan interface "tiwlan0" dazu angebe, hat die Regel keine Wirkung. Warum ist das so?
 

cuma

Aktives Mitglied
Mitglied seit
16 Dez 2006
Beiträge
2,756
Punkte für Reaktionen
6
Punkte
38
Wenn Wlan deaktiviert ist hat es kein Interface. Und wenn der gleiche IP-Bereich für alles ausgewählt ist, heisst es "lan".
 

rapt0r

Neuer User
Mitglied seit
31 Mrz 2008
Beiträge
60
Punkte für Reaktionen
0
Punkte
0
Ja, natürlich hab für Lan und Wlan keine getrennten IP-Bereiche. Es funktioniert ja mit "ANY".
 

3CX PBX - GRATIS
Linux / Win / Cloud

Neueste Beiträge

Statistik des Forums

Themen
232,891
Beiträge
2,027,817
Mitglieder
351,017
Neuestes Mitglied
mucfaber