Hallo zusammen, ich möchte gern IPtables auf dem Router einrichten um meine VLANs zu trennen, das läuft auch soweit,allerdings komme ich hier nicht weiter.

Vielleicht kann mir hierbei das Forum helfen.

Was soll gelöst werden:

Vlan0: 192.168.70.0

Vlan2: 192.168.72.0

Vlan3: 10.10.10.0

Vlan4: 192.168.69.0

Alle Netze sollen untereinander keinen Zugriff haben, außer ein paar Ausnahmen.

1. IP-192.168.70.100 darf auf gesamtes Vlan4, Vlan4 aber nicht zurück

2. Alle Netze dürfen auf die IP im Vlan3 10.10.10.6, sonst auf keine, aber Vlan4 darf nirgends hin zurück.

eigentlich wars dass schon!

Aktuell habe ich folgendes probiert:

iptables -I FORWARD 1 -i vlan2 -o vlan3 -j DROP

iptables -I FORWARD 2 -i vlan2 -o vlan4 -j DROP

iptables -I FORWARD 3 -i vlan3 -o vlan2 -j DROP

iptables -I FORWARD 4 -i vlan3 -o vlan4 -j DROP

iptables -I FORWARD 5 -i vlan4 -o vlan2 -j DROP

iptables -I FORWARD 6 -i vlan4 -o vlan3 -j DROP

iptables -I FORWARD 7 -i vlan2 -o br0 -j DROP

iptables -I FORWARD 8 -s 192.168.70.100 -d 192.168.69.0/24 -j ACCEPT

iptables -I FORWARD 9 -s 192.168.70.0/24 -d 192.168.69.0/24 -j DROP

iptables -I FORWARD 10 -s 192.168.70.0/24 -d 10.10.10.0/24 -j ACCEPT

• *bis hier her funktioniert der Zugriff auf das Netz von 70.0 von 10.10.10.0/24, ABER auch der Weg zurück, wie kann ich das verhindern ?

iptables -I FORWARD 11 -s 10.10.10.0/24 -d 192.168.70.0/24 -j DROP

• *funktioniert nicht, dann komme ich auch wieder nicht mehr auf das 10.10.10.0 Netz

Kann mir hier jemand behilflich sein ? Vielleicht gehe ich das viel zu kompliziert an ?

Versuchs mal so:

# Für "IP-192.168.70.100 darf auf gesamtes Vlan4, Vlan4 aber nicht zurück"
iptables -A FORWARD -s 192.168.70.100/32 -d 10.10.10.0/24 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -d 192.168.70.100/32 -s 10.10.10.0/24 -m state --state RELATED,ESTABLISHED -j ACCEPT

# Für "Alle Netze dürfen auf die IP im Vlan3 10.10.10.6"
iptables -A FORWARD -d 10.10.10.6/32 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 10.10.10.6/32 -m state --state RELATED,ESTABLISHED -j ACCEPT

# Für "Alle Netze sollen untereinander keinen Zugriff haben"
iptables -P FORWARD DROP

Was du mit: "Vlan4 darf nirgends hin zurück" meinst wird mir leider nicht wirklich klar.

Hallo, schon mal danke für die Hilfe,

Was du mit: "Vlan4 darf nirgends hin zurück" meinst wird mir leider nicht wirklich klar.

damit meine ich nur das Vlan4 auf kein anderes Netz zugreifen darf.

Bedeutet das, dass die paar Zeilen alle die von mir ersetzen ? Nur kurz für mich zum Verständniss, IPtables werden doch Zeile für Zeile abgearbeitet, welche Regel dann auf ein Paket zutrifft (z.B. Source 192.168.70.100) wird ausgeführt? Alle späteren Reglen greifen dann nicht mehr ?

LG

geniuss schrieb:

Alle späteren Reglen greifen dann nicht mehr ?

Ja, so ist es für das Paket, das "seine Regel gefunden" hat.

geniuss schrieb:

Bedeutet das, dass die paar Zeilen alle die von mir ersetzen ?

Ja.

Hallo Nbkr, ich werde die gleich morgen Abend testen, allerdings sehe ich das richtig, das in der ersten Rule, dann auch das 192.168.69.0 Netz gesamt zurück auf 192.168.70.100 kann ? Ich möchte z.B. realisieren das von .70.100 auf .69.0 einen Arbeitsplatz RDP funktioniert. Muß dass dann sein ?

nbkr schrieb:

Versuchs mal so:

# Für "IP-192.168.70.100 darf auf gesamtes Vlan4, Vlan4 aber nicht zurück"
iptables -A FORWARD -s 192.168.70.100/32 -d 192.168.0.0/24 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -d 192.168.70.100/32 -s 192.168.0.0/24 -m state --state RELATED,ESTABLISHED -j ACCEPT

# Für "Alle Netze dürfen auf die IP im Vlan3 10.10.10.6"
iptables -A FORWARD -d 10.10.10.6/32 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 10.10.10.6/32 -m state --state RELATED,ESTABLISHED -j ACCEPT

# Für "Alle Netze sollen untereinander keinen Zugriff haben"
iptables -P FORWARD DROP

geniuss schrieb:

ich werde die gleich morgen Abend testen, allerdings sehe ich das richtig, das in der ersten Rule, dann auch das 192.168.69.0 Netz gesamt zurück auf 192.168.70.100 kann ?

Nein, siehst du nicht richtig. Ich hab so ein bißchen das Gefühl, dass das Verständnis fehlt, was "zurück" bedeutet. Grundsätzlich müssen immer Datenpakete zwischen Quelle und Ziel hin- und her geschickt, werden. Die Daten die du vom RDP Client aus anfragst müssen ja vom RDP Server (dem Arbeitsplatzrechner im 69.0er Netz) an den RDP Client geschickt werden. Da müssen also immer Daten "zurück" fließen.

Was du mit "nicht zurück" meinst ist eigentlich kein zurück fließen von Daten. Denn ein Zurück bedeutet ja das vorher Daten "hin" geflossen sind. Was du meinst ist eine Initalisierung der Verbindung. Du willst dass man vom 69.0er Netz keine Verbindung zum 70.100 starten starten kann. Das garantieren die die beiden ersten Regeln, genauer das "-m state --state ..." In der ersten Regel siehst du, dass bei "--state", das Wort "NEW" dabei steht. Das bedeutet dass der 70.100 eine neue Verbindung zu 69.0 aufbauen darf.

In der zweiten Regel fehlt das NEW, d.h. von 69.0 darf keine neue Verbindung aufgemacht werden. (Man bemerke -s und -d, also Quelle und Ziel sind jeweils vertauscht). Es werden nur Datenpakete durchgelassen die zu einer bestehende (ESTABLISHED) oder zugehörigen (RELATED) Verbindung durchgelassen.

Nebenbei: Da ist ein Tippfehler in der Regel, es muss natürlich 192.168.69.0/24 heißen, nicht 192.168.0.0/24

Vielen Dank für die Erklärung, jetzt wird mir einiges schlüssig. Den Tippfehler habe ich bereits erkannt und korrigiert

Leider funktioniert es nicht, ich habe gerade die Regel im Router eingetragen. Ich kann z.B.

vom Vlan 192.168.72.x : auf jede IP im 192.168.69.0, 192.168.70.0, 10.10.10.0 zugreifen, das bedeutet erst einmal, alles kann auf alles ?

vom Vlan 10.10.10.x : auf jede IP im 192.168.69.0, 192.168.70.0, 192.168.72.0 zugreifen, das bedeutet erst einmal, alles kann auf alles ?

Was ist falsch ?

Gruß

Zeig mal die Ausgabe von

sudo iptables -L -v -n

Hallo, habe es als Datei angehängt, sonst ist dies wohl zu unübersichtlich

Sieht so aus, als hättest du da noch mehr Anforderungen eingebaut als nur die genannten. Ich würde da nochmal von vorne anfangen, sonst kommst du dir da ziemlich in die Quere. Mit

iptables -F

löschst du alle Regeln und mit

iptables -X

löschst du alle zusätzlichen Chains. Dann ist alles wieder auf Start und man kann ein Problem nach dem anderen Fixen.

Die Input Chain ist z.B. ungünstig aufgebaut. Du erlaubst prinzipiell alles und sperrst dann ein paar Ports. Warum nicht alles sperren und nur die Ports erlauben die du brauchst. Das macht die Sache übersichtlicher. Nur dran denken: Wenn du den Rechner nur per SSH erreichst musst du zumindest SSH einmal freigeben bevor du die Policy auf Drop stellst, sonst sperrst du dich selbst aus.

Hallo, da sehe ein Problem, wie oben geschrieben handelt es sich um einen Router kein Rechner

Welches Problem siehst du denn?

Nur das der Router danach nicht mehr funktioniert

Was würdest du tun, wenn der Router mal ausfällt? iptables Regeln gehen nach einem Reboot verloren, d.h. du hast sicherlich irgendwo ein Backup das du einspielen kannst, oder nicht? Genauso kannst du das hier machen. Backup ziehen, Konfiguration ändern, wenns nicht klappt Backup wieder einspielen.