iptables, mehrere Interfaces und Forwarding

Serverdienste ohne eigene Kategorie
EdRoxter
Posts: 483
Joined: 2006-01-06 03:23
Location: Neben Bonn
 

iptables, mehrere Interfaces und Forwarding

Post by EdRoxter »

Hallo zusammen,

ich kaue gerade an folgendem Problem herum und weiß nicht, was ich noch ausprobieren oder lesen müsste, um es zu lösen.

Folgendes Setup: Das Blech hat mehrere Interfaces für diverse Dinge. Davon sind zwei gerade relevant:

eth0 mit IP 111.111.111.111
eth3 mit IP 222.222.222.222

222.222.222.222 ist das Gateway in seinem Subnetz. Nun möchte ich verhindern, dass jeglicher Traffic, der über eth3 reinkommt und an 111.111.111.111 gerichtet ist, rejected wird - der Zugriff auf das Subnetz, in dem 111.111.111.111 sich befindet, aber möglich ist.

Folgende Regel habe ich dafür erstellt, die m.E. logisch richtig ist:

Code: Select all

/sbin/iptables -A INPUT -p ALL -i eth3 -d 111.111.111.111/32 -j REJECT
/sbin/iptables -A FORWARD -p ALL -i eth3 -d 111.111.111.0/24 -j ACCEPT
Die zweite Regel funktioniert ohne Probleme, die obere greift jedoch nicht - ich kann auf 111.111.111.111 problemlos zugreifen, wenn ich mich im Netzwerk hinter eth3 befinde. Ich habe es auch schon mit FORWARD statt INPUT versucht, ändert aber auch nichts.

Interessant finde ich auch, dass ein traceroute (wieder aus dem 222.222.222.0/24-Subnet hinter eth3) folgendes ergibt:

Code: Select all

nico@edbook:~$ traceroute 111.111.111.111
traceroute to 111.111.111.111 (111.111.111.111), 30 hops max, 60 byte packets
 1  hostname (111.111.111.111)  3.064 ms  8.948 ms  13.134 ms
hingegen:

Code: Select all

nico@edbook:~$ traceroute 111.111.111.112
traceroute to 111.111.111.112 (111.111.111.112), 30 hops max, 60 byte packets
 1  gateway2 (222.222.222.222)  3.457 ms  6.745 ms  12.259 ms
 2  hostdahinten (111.111.111.112)  15.590 ms  19.181 ms  23.717 ms
Ist es so, dass bei dieser Konstellation ignoriert wird, dass die IPs von eth0 und eth3 in unterschiedlichen Subnetzen liegen und daher eigentlich die komplette Routingkette durchlaufen sollten? Und wieso greift auch INPUT nicht?

Ich seh grad den Wald vor lauter Bäumen nicht mehr...
Top
EdRoxter
Posts: 483
Joined: 2006-01-06 03:23
Location: Neben Bonn
 

Re: iptables, mehrere Interfaces und Forwarding

Post by EdRoxter »

Ich hab tatsächlich den einen Baum nicht gesehen - eine Regel mit dem Ziel ACCEPT weiter oben in meinem Skript, die dazu geführt hat, dass meine REJECT-Regel nicht mehr abgegrast wurde.

Ich sollte den Wald mal aufräumen. ;)
Last edited by EdRoxter on 2010-03-08 16:30, edited 1 time in total.
Top
User avatar
Joe User
Project Manager
Project Manager
Posts: 11190
Joined: 2003-02-27 01:00
Location: Hamburg
 

Re: iptables, mehrere Interfaces und Forwarding

Post by Joe User »

Danke für Dein Feedback, auch wenn Du die Lösung selbst gefunden hast.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Top

Return to “Serverdienste”