WLAN und LAN trennen mit Internet als IP Client

[dopefish1337]

Hallo Leute,

ich benutze mein gefreetztes Speedport W701V als Telefonanlage (Callmonitor, iptables, openvpn, etc.) zusätzlich zu meinem TP-Link 1043ND.

Die Fritzbox bezieht via DHCP eine IP vom 1043ND. Die Betriebsart steht auf Vorhandene Internetverbindung im Netzwerk mitbenutzen (IP-Client). Das klappt soweit auch gut.

Jetzt würde ich jedoch gerne mein LAN vom WLAN trennen damit mein Nachbar mein Internet über WLAN nutzen kann ohne jedoch meine ganzen Rechner, Server etc. im Heimnetzwerk zu sehen.

Klappt das? Ich habe es mit der Anleitung probiert http://freetz.org/wiki/help/howtos/security/split_wlan_lan jedoch fehlt da bei mir glaube ich das genannte wlan Modul weil ich die Option "Alle Computer befinden sich im selben IP-Netzwerk" gar nicht aktivieren kann.

Wenn ich die Einstellungen aus dem Tutorial stupide eingebe (via Freetz über Weboberfläche in die Iptables Regeln) bekomme ich folgende Meldungen:

Flushing rules and unloading modules ... rmmod: can't unload 'ip_conntrack': Resource temporarily unavailable
rmmod: can't unload 'ip_nat': unknown symbol in module, or unknown parameter
rmmod: can't unload 'ipt_REJECT': unknown symbol in module, or unknown parameter
rmmod: can't unload 'ip_tables': Resource temporarily unavailable
done.
Loading modules ... modprobe: module ipt_REJECT not found in modules.dep
modprobe: module ip_nat not found in modules.dep
done.
Loading table list ... iptables-restore: line 1 failed
done.

Eingetragene Regeln:

iptables -A FORWARD -i wlan -o dsl -j ACCEPT
iptables -A FORWARD -i wlan -j DROP
iptables -A INPUT -i wlan -p tcp -j DROP
iptables -A INPUT -i wlan -p udp -j DROP
iptables -I INPUT -i wlan -p tcp --dport 53 -j ACCEPT
iptables -I INPUT -i wlan -p udp --dport 53 -j ACCEPT
iptables -I INPUT -i wlan -p tcp --dport 22 -j ACCEPT
iptables -I INPUT -i wlan -p udp --dport 1194 -j ACCEPT

Ich kenne mich leider zu schlecht aus. Vielleicht kann mir einer ein wenig bei den Interfacen helfen oder sagen ob das hier überhaupt möglich ist.

Vielen Dank!

 

[olistudent]

Was hast du denn im menuconfig an iptables-Sachen ausgewählt?

Gruß
Oliver

 

[dopefish1337]

Was hast du denn im menuconfig an iptables-Sachen ausgewählt?

Gruß
Oliver

Hi,
gute Frage... ich habe nur iptables gewählt und zusätzlich noch die Weboberfläche dazu.

In meiner Config konnte ich folgendes zu iptables finden:

FREETZ_SHOW_UNSTABLE_PACKAGES=y
FREETZ_PACKAGE_IPTABLES=y
FREETZ_PACKAGE_IPTABLES_IS_SELECTABLE=y
FREETZ_PACKAGE_IPTABLES_SAVE_RESTORE=y
FREETZ_PACKAGE_IPTABLES_CGI=y
FREETZ_PACKAGE_IPTABLES_STANDARD_MODULES=y
FREETZ_PACKAGE_IPTABLES_KERNEL_MODULES=y
FREETZ_MODULE_ip_conntrack=y
FREETZ_MODULE_ip_conntrack_ftp=y
FREETZ_MODULE_iptable_filter=y
FREETZ_MODULE_iptable_nat=y
FREETZ_MODULE_ip_tables=y
FREETZ_MODULE_ipt_iprange=y
FREETZ_MODULE_ipt_LOG=y
FREETZ_MODULE_ipt_mac=y
FREETZ_MODULE_ipt_MASQUERADE=y
FREETZ_MODULE_ipt_multiport=y
FREETZ_MODULE_ipt_REDIRECT=y
FREETZ_MODULE_ipt_state=y
FREETZ_PACKAGE_IPTABLES_SHARED_LIBS=y
FREETZ_LIB_libipt_DNAT=y
FREETZ_LIB_libipt_LOG=y
FREETZ_LIB_libipt_MASQUERADE=y
FREETZ_LIB_libipt_REDIRECT=y
FREETZ_LIB_libipt_SNAT=y
FREETZ_LIB_libxt_iprange=y
FREETZ_LIB_libxt_mac=y

Fehlt da irgendwas?

 

[olistudent]

Schau mal bitte ob die folgende Änderung dein Problem löst:
http://freetz.org/changeset/8334

Zumindest die "not found" Meldungen...

Gruß
Oliver

 

[MrTweek1987]

Schau bitte mal in meine Signatur...

würde mich freuen, wenn man das mal posten bzw als "Wichtig" makieren könnte

 

[RalfFriedl]

Ich weiß nicht, ob das Trennen von allen 4 Anschlüssen so häufig verwendet wird, dass sich das lohnt.

 

[MrTweek1987]

iptables -A FORWARD -i wlan -o dsl -j ACCEPT
iptables -A FORWARD -i wlan -j DROP
iptables -A INPUT -i wlan -p tcp -j DROP
iptables -A INPUT -i wlan -p udp -j DROP
iptables -I INPUT -i wlan -p tcp --dport 53 -j ACCEPT
iptables -I INPUT -i wlan -p udp --dport 53 -j ACCEPT
iptables -I INPUT -i wlan -p tcp --dport 22 -j ACCEPT
iptables -I INPUT -i wlan -p udp --dport 1194 -j ACCEPT

@dopefish1337: du hast normalerweise ein WLAN-Interface, es ist aber gebrückt mit "lan" was also heist, erlaubst du was für "lan", dann zeitgleich auch für wlan...jedoch auch wenn du was verbietest...

lan ist gebrückt mit eth0, eth1, eth2, eth3 und wlan

wlan sollte in deinem fall "tiwlan0" sein...

{
                name = "wlan";
                dhcp = no;
                ipaddr = 192.168.4.1;
                netmask = 255.255.255.0;
                dstipaddr = 192.168.4.1;
[B][COLOR="red"]                interfaces = "tiwlan0", "wdsup0", "wdsdw0", "wdsdw1", 
                             "wdsdw2", "wdsdw3";[/COLOR][/B]
                dhcpenabled = yes;
                dhcpstart = 192.168.4.2;
                dhcpend = 192.168.4.5;
                no_dnsd_static = no;
        }