• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Problem mit IPTABLES

FireFox

Newbie
Hi!

Ich habe folgendes Problem und zwar möchte ich eine Firewall mit 3 Netzwerken (LAN, WAN, DMZ) aufbauen. Die Verbindung vom LAN ins WAN funktioniert, versuche ich aber nun vom WAN auf einen Webserver in der DMZ zu kommen funktioniert es nicht. Kann mir aber nicht erklären weshalb es nicht funktioniert.

Hier hab ich mal die Zeilen aus meinem Skript welche den Zugriff auf den Webserver sicherstellen sollten:

# Verbindung nach aussen mit InternetIP maskieren
/usr/sbin/iptables -t nat -A POSTROUTING -p tcp -s $DMZ_NET -p $PPP_DEV -j SNAT --to-source $PPP_IP
# Zugriff von aussen auf den Webserver
/usr/sbin/iptables -t nat -A PREROUTING -p tcp --dport 80 -i $PPP_DEV -j DNAT --to $DMZ_HTTP
# Weg in die DMZ
/usr/sbin/iptables -A INPUT -p tcp --dport 80 -i $PPP_DEV -j ACCEPT
/usr/sbin/iptables -A OUTPUT -p tcp -d $DMZ_NET --dport 80 -o $DMZ_DEV -j ACCEPT
# Weg aus der DMZ
/usr/sbin/iptables -A INPUT -p tcp -s $DMZ_NET --sport 80 -i $DMZ_DEV -j ACCEPT
/usr/sbin/iptables -A OUTPUT -p tcp -s $PPP_NET --sport 80 -o $PPP_DEV -j ACCEPT

Hoffe mir kann wer helfen, des ganze muß bis Donnerstag laufen ansonsten kann ich mich von meiner Projektarbeit verabschieden. :cry:

bis denn denn
FireFox
 

wenf

Hacker
Code:
----lan-----####pc####-----wan----
                 |
                 | dmz

stehen in der DMZ Rechner mit ofiziellen IP-Adressen oder werden nur ports (ip-WAN) an rechner in der DMZ weitdergereicht ?

alles auf WAN Interface maskieren

$IPTABLES -t nat -A POSTROUTING -o $WANIF -j MASQUERADE

echo "1" > /proc/sys/net/ipv4/ip_forward
nicht vergessen


von LAN in DMZ (http)
$IPTABLES -t nat -A PREROUTING -i $LANIF -p TCP --sport $p_high --dport 80 -d $LANIP -j DNAT --to-destination $IPDMZSRV:80

die option -d $LANIP muß angegeben werden, da sonst alle http zugriffe aus dem Lan in die DMZ geroutet werden

wenn du nun von lan ins Wan Internetsurfen willst, brauchst du noch einige Forward-regeln.

$IPTABLES -A FORWARD -p tcp -s $INTERN -d ! $INTERN --sport $p_high --dport 80 -i $LANIF -o $WANIF -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s ! $INTERN -d $INTERN --sport 80 --dport $p_high -i $WANIF -o $LANIF -j ACCEPT

damit kannst du mit clients im LAN im Internet-Sufen über WAN - Interface


von WAN in DMZ (http)
$IPTABLES -t nat -A PREROUTING -i $WANIF -p TCP --sport $p_high --dport 80 -d $WANIP -j DNAT --to-destination $IPDMZSRV:80


Variabelndefinition:
$IPTABLES = pfad zu IPTABLES
$WANIF = INTERFACE WAN
$LANIF = INTERFACE LAN
$WANIP =
$LANIP = IP von LAN Interface
$IPDMZSRV = IP von DMZ-SERVER
$INTERN = NETZWERKADRESSE LAN (192.168.1.0/255.255.255.0)
$p_high Postbereich über 1024 (1024:65355)


für eine komplette Firewall fehlen aber noch eineige wichtige dinge
ICMP DNS kernel-parameter (syncookies) usw...
 
OP
F

FireFox

Newbie
Nein es steht nur eine IP-Adresse zur Verfügung und ich möchte eben die Ports in die DMZ weiterleiten.

echo "1" > /proc/sys/net/ipv4/ip_forward

steht weiter oben im skript wollte nur nicht das ganze skript posten.

Verbindung LAN in Richtung WAN funktioniert alles soweit, nur eben vom WAN in die DMZ nicht leider.

Wegen den wichtigen dinge brauchst dir keinen kopf machen des passt soweit alles, hab echt nur Probleme mit der WAN -> DMZ und mit der LAN -> DMZ Verbindung.
 
Oben