• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

IPTABLES ich verstehs nicht :-(

H

Hobride

Hallo zusammen,

ich stehe mal wieder auf der Leitung glaub ich.
Ich weiss das es eine Suchfunktion gibt :) und auch die grosse alles wissende Maschine habe ich bemüht.
Aber es will mir nicht gelingen ein funktionierendes IPTABLES Script zu basteln.

Ich habe folgendes vor:

- Alle Workstations sollen zugriff auf das Internet haben
- bestimmte Seiten sollen gesperrt werden können (SQUID)
- nur bestimmte Ports sollen benutzt werden können (IPTABLES)
- die Workstations sollen mit allen Rechnern im anderen Subnetz Verbindung haben (alle Ports) - und auch umgekehrt

1. Frage: Geht das überhaupt so mit Linux? Und denn auch noch mit einer Netzwerkkarte? (bei Bedarf rüste ich eine Karte nach)
2. Frage: Wenn ja könnte mir evtl. jemand ein Beispielscript für IPTABLES basteln/zurverfügung stellen wo ich nur die Ports festlegen muß?

zum Verständnis hab ich mal eine Grafik gebastelt:
grafik1.jpg


Danke erstmal für Eure Bemühungen
Gruß Marcel
 
T

Tooltime

Ich kenne zwar nur openSUSE und nicht SLES, aber dort sollte es doch auch die Firewall geben. Mit ihr kann man das alles Konfigurieren ohne sich direkt mit iptables zu beschäftigen. Zum Beispiel Zwangsumleitung aller http-Verbindungen auf Squid (transparenter Proxy).

Mal davon abgesehen das die IP 192.168.10.100 zweimal vergeben ist (Fritz!Box u. Server), wenn Arbeitsstationen und Worstations ungehindert Kommunizieren können sollen, warum befinden sie sich nicht im gleichen Subnetz und werden einfach mit einen Switsch gekoppelt.
 
OP
H

Hobride

Hallo Tooltime,

die Grafik ist mit fiktiven Adressen und nur als Beispiel anzusehen ums hier einfacher zubeschreiben (mein Fehler).
Dass IP Adressen nicht doppelt vergeben werden dürfen ist mit bekannt.

Ich habe mich nicht korrekt ausgedrückt:

Ich will zwei Subnetze erschaffen damit die 192.168.0.xxx Workstations
nicht einfachso auf die Geräte im 192.168.10.xxx zugreifen können.
So will ich z.B. verhindern das Benutzer dirketen Zugriff auf die Fritzbox haben,
denn wenn die Fritzbox im gleichen Subnetz ist kann jeder User diese Auch als Router eintragen und
ich könnte das Internet nicht "Zensieren" ;-)

Dennoch sollten Verbindungen möglich sein, wenn per iptables erlaubt wurden.
Vielleicht habe ich da auch einen gigantischen DENKFEHLER und mein Vorhaben kann gar nicht klappen.
 
nbkr

nbkr

Prinzipiell geht alles was Du beschrieben hast über iptables bzw. onBoard Mitteln von Linux. Allerdings brauchst Du einen Switch der mit VLANs umgehen kann wenn der Server nur eine Netzwerkkarte haben soll. Ansonsten konfigurieren die Leute einfach ihre Workstation um und schon brauchen sie den Linuxserver nicht!
 
T

Tooltime

Schau mal ob es bei SLES auch die Datei /etc/sysconfig/SuSEfirewall2 gibt. Dort solltest du dir mal die Parameter FW_FORWARD und FW_REDIRECT anschauen. Mit der Hilfe vom ersten kann man einfach das Routing nur für spezielle Dienste von einem Subnetz in ein anderes definieren. Der zweite erlaubt das Umleiten von Verbindungen auf einen beliebigen Port der Firewall.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben