iptables verkehr zwischen zwei Netzen erlauben

Revolution · 28. März 2016

Hallo zusammen,

Ich glaub ich stelle mich gerade etwas selten dämlich an.

Ich möchte im Prinzip was ganz einfaches dachte ich zumindest. Ich hab einen Debian Server als Router konfiguriert... Läuft auch alles so wie es soll ... jetzt sollen die Netzwerke aber nicht ungehindert miteinander kommunizieren sonder nur auf bestimmten Ports...

Der Server hat 5 Nics an denen jeweils ein eigenes Netzwerk hängt.

Das Grundgerüst sieht so aus:

Code:

#Default Regeln

iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

# Localhost Regeln

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

Wie Lautet nun die Regel um Netzwerk Verkehr von eth1 (10.10.10.8/29) auf eth2 (10.10.10.16) für den Port 3306 zuzulassen? Ich hab schon zig Sachen probier nur es will nicht...

Y-Chromosome · 28. März 2016

http://serverfault.com/questions/267580/linux-routing-traffic-between-two-networks-with-iptables die antwort hier erklärt es recht schön wie ich finde

mensch183 · 29. März 2016

Revolution schrieb:
Wie Lautet nun die Regel um Netzwerk Verkehr von eth1 (10.10.10.8/29) auf eth2 (10.10.10.16) für den Port 3306 zuzulassen? Ich hab schon zig Sachen probier nur es will nicht...

Es muss wohl eine(oder mehrere) Regeln hinzugefügt werden. Wie geht das?
==> iptables -A

Durch welche table müssen Pakete flitzen dürfen, für die der fragliche Rechner weder Sender noch Empfänger ist, sondern die er nur durchleitet?
==> FORWARD

Revolution schrieb:
von eth1 (10.10.10.8/29)

==> -i eth1 -s 10.10.10.8/29

Revolution schrieb:
auf eth2 (10.10.10.16)

*öhm* Nun plötzlich eine einzelne Adresse, kein Netz? 10.10.10.16 als Hostadresse dürfte falsch sein. 10.10.10.16 wäre die kleinstmögliche Netzadresse für ein Netz, was unmittelbar auf das 10.10.10.8/29 an eth1 folgen könnte, z.B. als Netz 10.10.10.16/29 (mit den Hosts .17 bis .22). Falls du analog zu oben das Netz 10.10.10.16/29 meinst:
==> -o eth2 -d 10.10.10.16/29

Revolution schrieb:
für den Port 3306

TCP oder UDP? Je nachdem ...
==> -p tcp --dport 3306
oder
==> -p udp --dport 3306
oder 2 Regeln, wenn beides

Revolution schrieb:
zuzulassen

==> -j ACCEPT

... und schon ist die Regel fertig.

Hinweise:
1. Keine Ahnung, um was für Daten es geht. Ich vermute aber stark, dass nicht nur Pakete in die angegebene Richtung passieren dürfen sollen sondern auch Antwortpakete in die Gegenrichtung. Dafür sind ggf. weitere Regel(n) nötig.
2. Zum Testen anfangs ruhig mit vereinfachten Regeln arbeiten (z.B. nur ... -i eth1 -o eth2 -j ACCEPT)

Suche

iptables verkehr zwischen zwei Netzen erlauben

Revolution

Commodore

Y-Chromosome

Commander

mensch183

Captain

Ähnliche Themen

Passend zum Thema

Opera GX Gaming-Browser startet jetzt auch auf Linux

Linux-News der Woche EndeavourOS wird zum Titan und mehr VRAM per Software

CB-Funk-Podcast #160 Xbox „Project Helix“ mit FSR Diamond & Linux vs. Windows