iptables Einstellungen wirkungslos?

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
R

rapt0r

Neuer User
Mitglied seit
31 Mrz 2008
Beiträge
60
Punkte für Reaktionen
0
Punkte
0
Hallo,

Momentan stehe ich wohl aufm Schlauch. Bitte erbarmt euch meiner.
Ich möchte verhindern, dass venus 192.168.200.2 anpingen kann. Später möchte ich noch mehr verbieten. Grundsätzlich läuft es darauf hinaus, dass ein bestimmter Client im WLAN keinen Zugriff auf meinen VPN-Tunnel haben soll.

Ich habe die Regeln per GUI 1.0.4 erstellt.
Das der icmp-echo-request von venus nach 192.168.200.2 funktioniert aber mit meinen unten aufgelisteten Einstellungen immernoch. Was mach ich falsch?

iptables v1.4.1.1
"iptables -L" liefert:
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP icmp -- venus 192.168.200.2

Chain FORWARD (policy ACCEPT)
target prot opt source destination
DROP icmp -- venus 192.168.200.2

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
DROP icmp -- venus 192.168.200.2

Ich benutze freetz-trunk 2647 auf einem gefritzten Speedport W701V.
Vielen Dank.
 
Zuletzt bearbeitet:
Kann mir denn keiner einen Hinweis geben?
 
Schau dir mal die Zähler für die Chains an. Kommen die Pakete überhaupt da hin? Manchmal funkt da der dsld dazwischen.

MfG Oliver
 
Danke für die Antwort.
Der Speedport läuft als NAT-Router im IP-Mode. Also die WAN-LED leuchtet.
Seltsam ist, wenn ich im GUI für iptables die Ip des Routers 192.168.60.1 angebe, kommt folgendes bei raus:

Chain FORWARD (policy ACCEPT)
target prot opt source destination
DROP icmp -- venus 192.168.50.254

Der 50.254 ist der Router in dessen Subnetz der Speedport hängt und der als DHCP fungiert.
Von venus kann ich trotzdem den 50.254 anpingen.

Chain FORWARD (policy ACCEPT 2114K packets, 668M bytes) steht im GUI und darunter die obige Drop-Regel.


EDIT:
Ich habs.
Wenn ich als Interface statt "any" "lan" angebe funktioniert es. Analog für Regeln im Wlan muss ich wohl "tiwlan0" angeben?
Fragt sich wozu die Funktion "any" da ist?

EDIT2:
Offensichtlich muss das Interface angegeben werden, in dem sich der Client befindet, für welchen die Reglementierung gelten soll.

Ich weiß aber nicht wie ich es anstellen soll, dass ein bestimmer WLAN-Teilnehmer den Tunnel zwischen den beiden Speedport's nicht nutzen kann. Die tun0 interfaces haben die IP's 200.1 und 200.2. Wie kann ich es anstellen, dass der Iptables alle Pakete vom Teilnehmer X an das Subnet 200.0 verwirft?
 
Zuletzt bearbeitet:
rapt0r schrieb:
Ich weiß aber nicht wie ich es anstellen soll, dass ein bestimmer WLAN-Teilnehmer den Tunnel zwischen den beiden Speedport's nicht nutzen kann. Die tun0 interfaces haben die IP's 200.1 und 200.2. Wie kann ich es anstellen, dass der Iptables alle Pakete vom Teilnehmer X an das Subnet 200.0 verwirft?
Zum Vergrößern anklicken....
Ich schätze mal im Prinzip so:

Code: 
iptables -A forward -i tiwlan0 -s venus -d 192.168.200.0/24 -j DROP
 
Geschafft!

Danke für eure große Hilfe. Endlich geht's!
Es funktioniert via manuelle Eingabe, da die GUI immer ein Protokoll im Pulldown-Menu verlangt:

Um den Zugriff von "venus" auf den
lokalen VPN-Tunnel-Endpunkt (VPN-Client) zu verweigern:
Code: 
iptables -A INPUT -s venus -d 192.168.200.0/24 -j DROP

Um den Zugriff von "venus" auf den
entfernten VPN-Tunnel-Endpunkt (VPN-Server) zu verweigern:
Code: 
iptables -A FORWARD -s venus -d 192.168.200.0/24 -j DROP

Um den Zugriff von "venus" auf das
entfernte Netz (auf das der VPN-Server routet) zu verweigern:
Code: 
iptables -A FORWARD -s venus -d 192.168.178.0/24 -j DROP

Fazit: Im Protokoll Pulldown-Menu sollte noch ein "all" auswählbar sein. Ausserdem gibt es ja deutlich mehr Protokolle als nur TCP, UDP und ICMP.
Eventuell liegt das auch am iptables-cgi 1.0.4 oder an den Modulen ip_tables und oder ip_conntrack version 2.1. Brauch ich zusätzliche Module?
 
Bemerkung: Wenn ich das wlan interface "tiwlan0" dazu angebe, hat die Regel keine Wirkung. Warum ist das so?
 
Wenn Wlan deaktiviert ist hat es kein Interface. Und wenn der gleiche IP-Bereich für alles ausgewählt ist, heisst es "lan".
 
Ja, natürlich hab für Lan und Wlan keine getrennten IP-Bereiche. Es funktioniert ja mit "ANY".
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 578 (Mitglieder: 35, Gäste: 543)

Neueste Beiträge

Statistik des Forums

Themen
244,828
Beiträge
2,219,045
Mitglieder
371,521
Neuestes Mitglied
phmllr
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück