Mit iptables Teilnehmer abschotten

[ons]

Hallo,

ich habe folgendes Problem:
An meiner FritzBox 7270 (mit aktuellem freetz-trunk build und iptables) hängt ein Server auf den ich bestimmten Personen vollen Zugriff über das Internet geben will. Da die Personen aber keinen Zugriff auf mein lokales Netzwerk haben sollen, will ich mittels iptables den Zugriff von diesem Server ins Netz 192.168.178.0/24 und auf die FritzBox verbieten (außer für DHCP requests), der Zugriff aufs Internet sollte aber erlaubt sein.
Ich habe schon folgendes probiert, aber der Server konnte immernoch auf das gesamte Netz zugreifen:

iptables -I FORWARD -s 192.168.178.42 -s 192.168.178.0/255.255.255.0 -j DROP

Es scheint so als ob die iptables bei internem traffic garnicht beachtet werden.

 

[RalfFriedl]

Erstens kommt bei mir, wenn ich so etwas versuche, die Meldung "multiple -s flags not allowed".
Außerdem geht der interne Verkehr tatsächlich nicht über die Box und somit nicht über iptables. Genauer gesagt geht der Verkehr über zwar den Switch-Baustein der Box, aber nicht weiter.
Eine Lösung wäre, den Switch umzukonfigurieren, so daß verschiedene Ports im Switch getrennt werden und nur durch Routing auf der Box kommunizieren können. Stichwort cpmaccfg.

 

[ons]

das mit dem -s flag war natürlich ein Schreibfehler und es sollte folgendermaßen aussehen:

iptables -I FORWARD -s 192.168.178.42 -d 192.168.178.0/255.255.255.0 -j DROP

Laut http://trac.freetz.org/wiki/help/howtos/security/switch_config#Kompatibilität funktioniert cpmaccfg nicht mit der 7270. Ist das noch aktuell? Gibt es sonst noch andere Lösungen? Zur Not könnte ich den Server auf per WLAN anbinden. Dann müssten die iptables doch beachtet werden?

 

[RalfFriedl]

Es gibt Einschränkungen mit der 7270, Du kannst einmal ausprobieren, was aktuell funktioniert.
Die Verwendung von WLAN könnte helfen, wenn LAN und WLAN nicht im selben Netz sind.

 

[cuma]

Außer dem 10 Mbit-Modus und Half-/Full-Duplex müsste alles auf der 7270 funktionieren