Schönen guten Morgen,
danke für Eure Tipps, doch scheine ich irgendio irgendwo einen Murks zu haben... Vermutlich liegt es in der Grundkonfiguration, die ich sehr "schnell" mit Networkmanager-GUI und ICS gemacht habe.
Der Rechner "consolet" hat 2 interfaces, eines (192.168.8.102) geht zum Internet-Router (eine LTE Box ohne WLAN), das andere zum Heim-LAN.
IF-EXTERN via GUI gebunden an MAC, IPv4=auto(DHCP), IPv6=ignoriert)
IF-INTERN via GUI gebunden an MAC, IPv4 und IPv6=gemeinsam mit anderen Rechnern
ifconfig:
IF-INTERN: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 10.42.0.1 netmask 255.255.255.0 broadcast 10.42.0.255
inet6 fe80::3efb:ef67:b2c0:f8dd prefixlen 64 scopeid 0x20<link>
ether 00:24:21:28:78:0e txqueuelen 1000 (Ethernet)
IF-EXTERN: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.8.102 netmask 255.255.255.0 broadcast 192.168.8.255
inet6 fe80::e5b:8fff:fe27:9a64 prefixlen 64 scopeid 0x20<link>
ether 0c:5b:8f:27:9a:64 txqueuelen 1000 (Ethernet)
Ipables sieht so aus:
iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT udp -- anywhere anywhere udp dpt:bootps
ACCEPT tcp -- anywhere anywhere tcp dpt:bootps
ACCEPT udp -- anywhere anywhere udp dpt:domain
ACCEPT tcp -- anywhere anywhere tcp dpt:domain
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere 10.42.0.0/24 state RELATED,ESTABLISHED
ACCEPT all -- 10.42.0.0/24 anywhere
ACCEPT all -- anywhere anywhere
REJECT all -- anywhere anywhere reject-with icmp-port-unreachable
REJECT all -- anywhere anywhere reject-with icmp-port-unreachable
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- 10.42.0.0/24 !10.42.0.0/24
So, und wenn ich nun die Regel wie unten einfüge, um damit dem internen Host 10.42.0.3 den Zugriff auf 194.232.104.150 zu verweigern, führt das zu nix.
Pingen läßt sich der Host, auch Firefox auf 10.42.0.3 löst den Testhost auf....
iptables -I FORWARD 1 -i 10.42.0.3 -d 194.232.104.150 -j REJECT
Liegt das daran, dass ich zuerst mal den Host gepingt habe, um zu sehen, ob das geht und dieses Verhalten gemeinsam mit der Regel ACCEPT all – anywhere 10.42.0.0/24 state RELATED,ESTABLISHED dazu führt, dass der Host, da bereits einmal "verwendet" auch künftig akzeptiert wird? Obwohl die Regel erst an zweiter Stelle steht?
Oder sollte ich das besser mit dns-masq zu lösen versuchen?
Geht das überhaupt, wenn da vorher der Networkmanager reingespielt hat?
So einfach scheints nicht zu sein 🙄