.titleBar { margin-bottom: 5px!important; }

iptables Einstellungen wirkungslos?

Dieses Thema im Forum "Freetz" wurde erstellt von rapt0r, 15 Okt. 2008.

  1. rapt0r

    rapt0r Neuer User

    Registriert seit:
    31 März 2008
    Beiträge:
    60
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #1 rapt0r, 15 Okt. 2008
    Zuletzt bearbeitet: 15 Okt. 2008
    Hallo,

    Momentan stehe ich wohl aufm Schlauch. Bitte erbarmt euch meiner.
    Ich möchte verhindern, dass venus 192.168.200.2 anpingen kann. Später möchte ich noch mehr verbieten. Grundsätzlich läuft es darauf hinaus, dass ein bestimmter Client im WLAN keinen Zugriff auf meinen VPN-Tunnel haben soll.

    Ich habe die Regeln per GUI 1.0.4 erstellt.
    Das der icmp-echo-request von venus nach 192.168.200.2 funktioniert aber mit meinen unten aufgelisteten Einstellungen immernoch. Was mach ich falsch?

    iptables v1.4.1.1
    "iptables -L" liefert:
    Chain INPUT (policy ACCEPT)
    target prot opt source destination
    DROP icmp -- venus 192.168.200.2

    Chain FORWARD (policy ACCEPT)
    target prot opt source destination
    DROP icmp -- venus 192.168.200.2

    Chain OUTPUT (policy ACCEPT)
    target prot opt source destination
    DROP icmp -- venus 192.168.200.2

    Ich benutze freetz-trunk 2647 auf einem gefritzten Speedport W701V.
    Vielen Dank.
     
  2. rapt0r

    rapt0r Neuer User

    Registriert seit:
    31 März 2008
    Beiträge:
    60
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Kann mir denn keiner einen Hinweis geben?
     
  3. olistudent

    olistudent IPPF-Urgestein

    Registriert seit:
    19 Okt. 2004
    Beiträge:
    14,756
    Zustimmungen:
    2
    Punkte für Erfolge:
    0
    Beruf:
    Softwareentwickler
    Ort:
    Kaiserslautern
    Schau dir mal die Zähler für die Chains an. Kommen die Pakete überhaupt da hin? Manchmal funkt da der dsld dazwischen.

    MfG Oliver
     
  4. rapt0r

    rapt0r Neuer User

    Registriert seit:
    31 März 2008
    Beiträge:
    60
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #4 rapt0r, 16 Okt. 2008
    Zuletzt bearbeitet: 16 Okt. 2008
    Danke für die Antwort.
    Der Speedport läuft als NAT-Router im IP-Mode. Also die WAN-LED leuchtet.
    Seltsam ist, wenn ich im GUI für iptables die Ip des Routers 192.168.60.1 angebe, kommt folgendes bei raus:

    Chain FORWARD (policy ACCEPT)
    target prot opt source destination
    DROP icmp -- venus 192.168.50.254

    Der 50.254 ist der Router in dessen Subnetz der Speedport hängt und der als DHCP fungiert.
    Von venus kann ich trotzdem den 50.254 anpingen.

    Chain FORWARD (policy ACCEPT 2114K packets, 668M bytes) steht im GUI und darunter die obige Drop-Regel.


    EDIT:
    Ich habs.
    Wenn ich als Interface statt "any" "lan" angebe funktioniert es. Analog für Regeln im Wlan muss ich wohl "tiwlan0" angeben?
    Fragt sich wozu die Funktion "any" da ist?

    EDIT2:
    Offensichtlich muss das Interface angegeben werden, in dem sich der Client befindet, für welchen die Reglementierung gelten soll.

    Ich weiß aber nicht wie ich es anstellen soll, dass ein bestimmer WLAN-Teilnehmer den Tunnel zwischen den beiden Speedport's nicht nutzen kann. Die tun0 interfaces haben die IP's 200.1 und 200.2. Wie kann ich es anstellen, dass der Iptables alle Pakete vom Teilnehmer X an das Subnet 200.0 verwirft?
     
  5. McNetic

    McNetic Mitglied

    Registriert seit:
    7 Feb. 2007
    Beiträge:
    674
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Ort:
    Aachen
    Ich schätze mal im Prinzip so:

    Code:
    iptables -A forward -i tiwlan0 -s venus -d 192.168.200.0/24 -j DROP
     
  6. rapt0r

    rapt0r Neuer User

    Registriert seit:
    31 März 2008
    Beiträge:
    60
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Geschafft!

    Danke für eure große Hilfe. Endlich geht's!
    Es funktioniert via manuelle Eingabe, da die GUI immer ein Protokoll im Pulldown-Menu verlangt:

    Um den Zugriff von "venus" auf den
    lokalen VPN-Tunnel-Endpunkt (VPN-Client) zu verweigern:
    Code:
    iptables -A INPUT -s venus -d 192.168.200.0/24 -j DROP
    Um den Zugriff von "venus" auf den
    entfernten VPN-Tunnel-Endpunkt (VPN-Server) zu verweigern:
    Code:
    iptables -A FORWARD -s venus -d 192.168.200.0/24 -j DROP
    Um den Zugriff von "venus" auf das
    entfernte Netz (auf das der VPN-Server routet) zu verweigern:
    Code:
    iptables -A FORWARD -s venus -d 192.168.178.0/24 -j DROP
    Fazit: Im Protokoll Pulldown-Menu sollte noch ein "all" auswählbar sein. Ausserdem gibt es ja deutlich mehr Protokolle als nur TCP, UDP und ICMP.
    Eventuell liegt das auch am iptables-cgi 1.0.4 oder an den Modulen ip_tables und oder ip_conntrack version 2.1. Brauch ich zusätzliche Module?
     
  7. rapt0r

    rapt0r Neuer User

    Registriert seit:
    31 März 2008
    Beiträge:
    60
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Bemerkung: Wenn ich das wlan interface "tiwlan0" dazu angebe, hat die Regel keine Wirkung. Warum ist das so?
     
  8. RalfFriedl

    RalfFriedl IPPF-Urgestein

    Registriert seit:
    22 Apr. 2007
    Beiträge:
    12,343
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Wahrscheinlich ist es nicht das Interface, das verwendet wird.
     
  9. cuma

    cuma Aktives Mitglied

    Registriert seit:
    16 Dez. 2006
    Beiträge:
    2,743
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Wenn Wlan deaktiviert ist hat es kein Interface. Und wenn der gleiche IP-Bereich für alles ausgewählt ist, heisst es "lan".
     
  10. rapt0r

    rapt0r Neuer User

    Registriert seit:
    31 März 2008
    Beiträge:
    60
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ja, natürlich hab für Lan und Wlan keine getrennten IP-Bereiche. Es funktioniert ja mit "ANY".