iptables, mehrere Interfaces und Forwarding
Posted: 2010-03-05 16:28
Hallo zusammen,
ich kaue gerade an folgendem Problem herum und weiß nicht, was ich noch ausprobieren oder lesen müsste, um es zu lösen.
Folgendes Setup: Das Blech hat mehrere Interfaces für diverse Dinge. Davon sind zwei gerade relevant:
eth0 mit IP 111.111.111.111
eth3 mit IP 222.222.222.222
222.222.222.222 ist das Gateway in seinem Subnetz. Nun möchte ich verhindern, dass jeglicher Traffic, der über eth3 reinkommt und an 111.111.111.111 gerichtet ist, rejected wird - der Zugriff auf das Subnetz, in dem 111.111.111.111 sich befindet, aber möglich ist.
Folgende Regel habe ich dafür erstellt, die m.E. logisch richtig ist:
Die zweite Regel funktioniert ohne Probleme, die obere greift jedoch nicht - ich kann auf 111.111.111.111 problemlos zugreifen, wenn ich mich im Netzwerk hinter eth3 befinde. Ich habe es auch schon mit FORWARD statt INPUT versucht, ändert aber auch nichts.
Interessant finde ich auch, dass ein traceroute (wieder aus dem 222.222.222.0/24-Subnet hinter eth3) folgendes ergibt:
hingegen:
Ist es so, dass bei dieser Konstellation ignoriert wird, dass die IPs von eth0 und eth3 in unterschiedlichen Subnetzen liegen und daher eigentlich die komplette Routingkette durchlaufen sollten? Und wieso greift auch INPUT nicht?
Ich seh grad den Wald vor lauter Bäumen nicht mehr...
ich kaue gerade an folgendem Problem herum und weiß nicht, was ich noch ausprobieren oder lesen müsste, um es zu lösen.
Folgendes Setup: Das Blech hat mehrere Interfaces für diverse Dinge. Davon sind zwei gerade relevant:
eth0 mit IP 111.111.111.111
eth3 mit IP 222.222.222.222
222.222.222.222 ist das Gateway in seinem Subnetz. Nun möchte ich verhindern, dass jeglicher Traffic, der über eth3 reinkommt und an 111.111.111.111 gerichtet ist, rejected wird - der Zugriff auf das Subnetz, in dem 111.111.111.111 sich befindet, aber möglich ist.
Folgende Regel habe ich dafür erstellt, die m.E. logisch richtig ist:
Code: Select all
/sbin/iptables -A INPUT -p ALL -i eth3 -d 111.111.111.111/32 -j REJECT
/sbin/iptables -A FORWARD -p ALL -i eth3 -d 111.111.111.0/24 -j ACCEPT
Interessant finde ich auch, dass ein traceroute (wieder aus dem 222.222.222.0/24-Subnet hinter eth3) folgendes ergibt:
Code: Select all
nico@edbook:~$ traceroute 111.111.111.111
traceroute to 111.111.111.111 (111.111.111.111), 30 hops max, 60 byte packets
1 hostname (111.111.111.111) 3.064 ms 8.948 ms 13.134 msCode: Select all
nico@edbook:~$ traceroute 111.111.111.112
traceroute to 111.111.111.112 (111.111.111.112), 30 hops max, 60 byte packets
1 gateway2 (222.222.222.222) 3.457 ms 6.745 ms 12.259 ms
2 hostdahinten (111.111.111.112) 15.590 ms 19.181 ms 23.717 msIch seh grad den Wald vor lauter Bäumen nicht mehr...