gabberhead
Anmeldungsdatum: 11. Februar 2017
Beiträge: Zähle...
|
hallo, folgendes problem habe ich und ich komme einfach nicht weiter. ich habe es zwar fast wie ich glaube aber noch nicht 100% wie ich es will.
folgende config habe ich bei mir: openvpn läuft einem server mit 2 configs. config 1 (tun0) hat ip 192.168.243.0 config 2 (tun1) hat ip 192.168.244.0 das funktioniert auch soweit mit beiden kann ich auf den server zugreifen. was ich aber einstellen will ist folgendes: user auf .243 dürfen NICHT auf .244 zugreifen können und user auf .243 dürfen auch untereinander nicht auf sich zugreifen. user auf .244 dürfen aber auf .243 auf jeden user zugreifen können und natürlich auch das eigene .244 netz.
folgendes habe ich in der iptables stehen diesbezüglich: -A FORWARD -i tun0 -o tun1 -j REJECT
folgende meldung bekomme ich: unable to connect to remote host: connection refused -A FORWARD -i tun0 -o tun0 -j REJECT
folgende meldung bekomme ich: unable to connect to remote host: connection refused -A FORWARD -i tun1 -o tun0 -j ACCEPT Funktioniert nicht!
Hier ist das Problem, wo ich nicht weiter komme. Es kommt keine Fehlermeldung wie bei den -j REJECT Einstellungen. Es verbindet einfach nicht und es kommt zu einem Connection Timeout . -A FORWARD -i tun1 -o tun1 -j ACCEPT Funktioniert und ich komme auf die User. Ich denke nicht das das Problem bei den reject oder accept Einstellungen lieg. es muss eine andere Einstellung sein die ich nicht berücksichtigt habe und auch nicht weiss wo ich ansetzen soll. Darum frage ich hier nach Hilfe, da ich wirklich nicht weiter weiss. Falls ihr welche Infos braucht werde ich die natürlich hier posten. Danke schon mal im Vorraus!
Bearbeitet von sebix: Bitte verzichte in Zukunft auf die durchgehende Groß- bzw. Kleinschreibung im Beitrag!
Bearbeitet von sebix: Bitte verwende in Zukunft Codeblöcke, um die Übersicht im Forum zu verbessern!
Bearbeitet von sebix: Bitte verwende in Zukunft Listen, um die Übersicht im Forum zu verbessern!
Moderiert von sebix: Thema in einen passenden Forenbereich verschoben. Bitte beachte die als wichtig markierten Themen („Welche Themen gehören hier her und welche nicht?“) in jedem Forenbereich. Danke.
|
encbladexp
Ehemaliger
Anmeldungsdatum: 16. Februar 2007
Beiträge: 17449
|
Fangen wir mal ganz langsam an:
Moderne Tastaturen bieten auch dir die Möglichkeiten der Groß- und Kleinschreibung. Absätze stören den Lesefluss wenn diese falsch positioniert sind, unser Forum bietet dir dir Möglichkeit einer lesbaren/strukturierten Gestaltung. Liefere bitte mal die Ausgaben der Befehle sudo iptables-save sowie ip addr show und ip route show , verwende dafür am besten einen Codeblock in deinem nächsten Post (Dokument mit Zahnradsymbol drauf), siehe hierzu Forum/Syntax. Eventuell wäre deine OpenVPN Konfiguration hilfreich (Kommentare in der Datei kannst du dir sparen, brauchen wir nicht) Beachte das IP Kommunikation immer in beide Richtungen funktionieren muss. Mit globalem ACCEPT/REJECT kommst du da nicht weit.
mfg Stefan
|
gabberhead
(Themenstarter)
Anmeldungsdatum: 11. Februar 2017
Beiträge: 9
|
OK. Dann werde ich das mal versuchen mit der Gross- und Kleinschreibung. iptables-save 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25 | # Generated by iptables-save v1.4.14 on Sun Feb 12 05:03:59 2017
*nat
:PREROUTING ACCEPT [9:540]
:INPUT ACCEPT [2:120]
:OUTPUT ACCEPT [15:935]
:POSTROUTING ACCEPT [17:1055]
-A POSTROUTING -s 192.168.244.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Sun Feb 12 05:03:59 2017
# Generated by iptables-save v1.4.14 on Sun Feb 12 05:03:59 2017
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [81:19350]
:OUTPUT ACCEPT [136829:12392174]
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 16542 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 15876:15877 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 23148:23156 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22658:22661 -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i tun0 -o tun1 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i tun0 -o tun0 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i tun1 -o tun0 -j ACCEPT
-A FORWARD -i tun1 -o tun1 -j ACCEPT
COMMIT
|
ip addr show 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15 | 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether 26:c9:76:7c:d9:d7 brd ff:ff:ff:ff:ff:ff
inet 123.456.789.123/20 brd 123.456.789.255 scope global eth0
inet 10.16.0.7/16 scope global eth0
3: eth1: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN qlen 1000
link/ether 56:b6:af:4b:b4:0f brd ff:ff:ff:ff:ff:ff
65: tun1: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100
link/none
inet 192.168.244.1/24 brd 192.168.244.255 scope global tun1
66: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100
link/none
inet 192.168.243.1/24 brd 192.168.243.255 scope global tun0
|
ip route show | default via 123.456.789.1 dev eth0
10.16.0.0/16 dev eth0 proto kernel scope link src 10.16.0.7
123.456.789.0/20 dev eth0 proto kernel scope link src 123.456.789.123
192.168.243.0/24 dev tun0 proto kernel scope link src 192.168.243.1
192.168.244.0/24 dev tun1 proto kernel scope link src 192.168.244.1
|
Ich habe mal die öffentlich IPs verändert. OpenVPN tun0 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21 | port 15876
proto tcp-server
dev tun0
tls-auth ta.key 0
topology subnet
server 192.168.243.0 255.255.255.0
push "route 192.168.244.0 255.255.255.0"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
client-config-dir /home/gabberhead/ccd
group openvpn
keepalive 10 60
cipher AES-256-CBC
auth SHA512
tls-cipher DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-CAMELLIA256-SHA:DHE-RSA-AES256-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-RSA-AES128-SHA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
persist-key
persist-tun
status clients-status.log
log clients.log
verb 3
mute 15
|
OpenVPN tun1 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21 | port 15877
proto tcp-server
dev tun1
tls-auth ta.key 0
topology subnet
server 192.168.244.0 255.255.255.0
push "route 192.168.243.0 255.255.255.0"
push "redirect-gateway def1"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
client-config-dir /home/gabberhead/ccd
group openvpn
keepalive 10 60
cipher AES-256-CBC
auth SHA512 tls-cipher DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-CAMELLIA256-SHA:DHE-RSA-AES256-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-RSA-AES128-SHA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA remote-cert-tls client
persist-key
persist-tun
status openvpn-status1.log
log openvpn1.log
verb 3
mute 15
|
Danke im voraus für deine Hilfe. Hoffentlich komme ich bald zum Abschluss 😉
|
encbladexp
Ehemaliger
Anmeldungsdatum: 16. Februar 2007
Beiträge: 17449
|
gabberhead schrieb: | -A INPUT -p tcp -m tcp --dport 16542 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 15876:15877 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 23148:23156 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22658:22661 -j ACCEPT
-A FORWARD -i tun0 -o tun1 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i tun0 -o tun0 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i tun1 -o tun0 -j ACCEPT
-A FORWARD -i tun1 -o tun1 -j ACCEPT
COMMIT
|
Ich hab das mal etwa gefiltert, was mir auffällig ist:
Du erlaubst keine ICMP Nachrichten über die INPUT Chain. Das führt dazu das Tools wie ping nutzlos werden oder ICMP Fehlermeldungen (Port nicht erreichbar) dich nicht erreichen. Dann laufen Dinge eben in ein Timeout. Zumindest Echo Request, Echo Reply, Port/Host Unreachable sollte man immer erlaufen. Auf Wikipedia gibt es dazu eine prima Liste. Du erlaubst auf der einen Seite Traffic von tun1 nach tun0, auf der anderen Seite unterbindest du aber tun0 nach tun1. Wie sollen die beiden Interfaces ein Gespräch führen wenn einer ständig gegen die Wand schreit?
Bevorzugt solltest du damit starten die FORWARD Chain auf DROP zu setzen. Und dann Stufenweise Dinge freizuschalten die du brauchst. Dazu gehört z.B. dein Internet für welches du Masquerading aktiviert hast. Arbeite für den Ergebnisvergleich und als schicker zwischenspeicher immer mit iptables-save und iptables-restore :
iptables-save > sicherung.txt # Backup der aktuellen Regeln
iptables-restore < sicherung.txt # Rücksicherung deines Backups Der Vorteil ist: Du baust dir keine kaputten Scripten die nur ein einem bestimmten Kontext oder einer bestimmten Reihenfolge funktioniert, und zusätzlich weißt du was für Regeln in welcher Reihenfolge greifen. mfg Stefan
|
gabberhead
(Themenstarter)
Anmeldungsdatum: 11. Februar 2017
Beiträge: 9
|
Danke für die Erklärungen. Nur komme ich nicht weiter mit dem was Du schreibst. Bin in den Dingen nicht so bewandert. Welche Befehle für die IPTABLES sollte ich benutzen um die von dir genannten Sachen so einzustellen, so wie Du das vorschlägst? Speziell zu Punkt1. Da komme ich nicht weiter, was für Befehle ich nehmen sollte um das so Einzustellen wie du meinst. PS:
Ich habe das mit dem Froward Drop glaube ich so richtig wie Du meinst. So sieht die iptables Liste jetzt aus. 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22 | *filter
:INPUT DROP [2:479]
:FORWARD ACCEPT [19:1350]
:OUTPUT ACCEPT [90162:8930331]
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 16542 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 15876:15877 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 23148:23156 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22658:22661 -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-P FORWARD DROP
COMMIT
# Completed on Fri Feb 10 13:53:11 2017
# Generated by iptables-save v1.4.14 on Fri Feb 10 13:53:11 2017
*nat
:PREROUTING ACCEPT [7:837]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [5:314]
:POSTROUTING ACCEPT [5:314]
-A POSTROUTING -s 192.168.244.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Fri Feb 10 13:53:11 2017
|
Das mit -P FORWARD DROP funktioniert. Ich komme jetzt auf keine User drauf. Nicht auf die .243 und auf die .244. Aber ich kann jetzt nicht mit den .244 users im Internet Surfen, obwohl auf eth0 MASQUERADE gesetzt ist. Aber ich denke das ist so gewollt mit -P FORWARD DROP. Das muss man dann ja auch noch einstellen.
Wie gesagt, ich habe nicht so die grosse Ahnung davon. Etwas ja, aber es reicht nicht um das so einzustellen wie ich das benötige.
|
encbladexp
Ehemaliger
Anmeldungsdatum: 16. Februar 2007
Beiträge: 17449
|
Gut, als erstest solltest du das Routing auf den Interfaces freischalten für welche du es erlauben willst. Also wenn du von tun0 ins Internet (eth0) kommen willst dann eben -i eth0 -o tun0 und -i tun0 -o eth0 . Dann geht über das VPN schon mal dein Internet wieder. Dein nächstes Problem ist größer, dazu musst du wirklich mal den ISO/OSI Layer anschauen. Du willst von einem Interface mit einem anderen Sprechen, und genau da ist dein Verständnisproblem: IP Kommunikation erforderlich immmer zwei Richtungen. Fehlt eine bekommst du besagtes Timeout. Gleichzeitig solltest du, als Laie, erstmal ICMP global aktivieren:
iptables -I FORWARD -p icmp -j ACCEPT
iptables -I INPUT -p icmp -j ACCEPT
iptables -I OUTPUT -p icmp -j ACCEPT Warum du -P FORWARD DROP reingemalt hast, anstatt die Policy richtig zu setzen ist mir unklar. Zeile 3 von dem Output zeigt relativ klar das hier nicht die Policy gesetzt wurde, sondern du das einfach mit in das "Script" geschrieben hast. Die Policy steht nämlich immer hinter der Chain für diese sie gültig ist. mfg Stefan
|
gabberhead
(Themenstarter)
Anmeldungsdatum: 11. Februar 2017
Beiträge: 9
|
Also. Ich habe alle meine iptables jetzt erstmal gelöscht und komplett deinstalliert und dann neu richtig über den iptables Befehl eingefügt. Jetz sieht die Config so aus: 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26 | # Generated by iptables-save v1.4.14 on Sun Feb 12 17:39:49 2017
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [16:986]
:POSTROUTING ACCEPT [16:986]
-A POSTROUTING -s 192.168.244.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Sun Feb 12 17:39:49 2017
# Generated by iptables-save v1.4.14 on Sun Feb 12 17:39:49 2017
*filter
:INPUT DROP [23:1036]
:FORWARD ACCEPT [59:3498]
:OUTPUT ACCEPT [1849824:167851114]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 16542 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 15876:15877 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 23148:23156 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22658:22661 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -i eth0 -o tun1 -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT
COMMIT
# Completed on Sun Feb 12 17:39:49 2017
|
Internet geht wieder über eth0 und tun1. Über eth0 und tun0 will ich das nicht zulassen.
Was ich mich jetzt frage wegen der -P FORWARD DROP wie sollte man die richtig setzen? iptables -P FORWARD DROP oder iptabples -P FORWARD -j DROP oder anstatt -P -A nehmen. Im Netz finde ich beides. Draum wollte ich erstmal nachfragen welches richtig wäre. Kann man anstatt DROP auch REJECT nehmen? Desweiteren weiss ich nicht wie ich das machen soll was du hier geschrieben hast: Dein nächstes Problem ist größer, dazu musst du wirklich mal den ISO/OSI Layer anschauen................ ISO/OSI layer? Nie gehört ^^ Wo finde ich das?
|
encbladexp
Ehemaliger
Anmeldungsdatum: 16. Februar 2007
Beiträge: 17449
|
gabberhead schrieb: … Kann man anstatt DROP auch REJECT nehmen?
Das steht auch in der Dokumentation von iptables. Genauer:
Set the policy for the built-in (non-user-defined) chain to the given target. The policy target must be either ACCEPT or DROP.
ISO/OSI layer? Nie gehört ^^ Wo finde ich das?
Das 7-Layer Modell das unseren modernen Netzwerken zu Grunde liegt. Es gibt zwei gängige Modelle: ISO/OSI oder DOD. Worum es mir geht: Du versuchst an deinem System Dinge zu verändert von denen du nur rudimentär Ahnung hast, das ist nicht schlecht, aber dir fällt es einfacher Dinge zu machen von denen du ein gewisses Grundverständnis hast. Wikipedia:
mfg Stefan PS: Bevor die Frage aufkommt, nein ich biete dir nicht einfach eine fertige Lösung an. Hilfe zur Selbsthilfe 😉
|
gabberhead
(Themenstarter)
Anmeldungsdatum: 11. Februar 2017
Beiträge: 9
|
So hab jetzt hier die iptables richtig eingestellt inkl -P FORWARD DROP 😉 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27 | # Generated by iptables-save v1.4.14 on Sun Feb 12 18:10:47 2017
*nat
:PREROUTING ACCEPT [631:36746]
:INPUT ACCEPT [35:2101]
:OUTPUT ACCEPT [708:43826]
:POSTROUTING ACCEPT [708:43826]
-A POSTROUTING -s 192.168.244.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Sun Feb 12 18:10:47 2017
# Generated by iptables-save v1.4.14 on Sun Feb 12 18:10:47 2017
*filter
:INPUT DROP [1:44]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [175470:16286688]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 16542 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 15876:15877 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 23148:23156 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22658:22661 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -i eth0 -o tun1 -j ACCEPT
-A FORWARD -i tun1 -o eth0 -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT
COMMIT
# Completed on Sun Feb 12 18:10:47 2017
|
Das andere lese ich mir mal durch. Mal sehen wie weit ich komme 😉 PS: Der erste link geht nicht. Es kommt folgendes: Diese Seite existiert nicht Suche nach „ISO-Modell“ in anderen Artikeln.
Suche nach ähnlichen Schreibweisen im alphabetischen Index.
Verfasse einen Artikel zum Thema (Anleitung). Artikel verschwunden? Lade die Seite erneut, falls du sie soeben erstellt hast, da sich die Aktualisierung der Datenbank verzögern kann. Du kannst auch versuchen, den Servercache zu leeren.
Falls der Artikel gelöscht wurde, kannst du an den im Lösch-Logbuch genannten Administrator Nachfragen richten, so sie nicht durch die Mindestanforderungen an Artikel und die Löschkriterien beantwortet werden.
|
encbladexp
Ehemaliger
Anmeldungsdatum: 16. Februar 2007
Beiträge: 17449
|
Vertippt, aber du hättest auch selbst Google bemühen können. mfg Stefan
|
gabberhead
(Themenstarter)
Anmeldungsdatum: 11. Februar 2017
Beiträge: 9
|
Erstmal Danke für die Hilfe. Natürlich würde ich die einfachste Lösung bevorzungen um mein Problem schnellst möglich zu lösen. Aber so ist es auch OK. So lerne ich auch etwas diesbezüglich. Hab mir das jetzt durchgelesen die beiden Sachen. Auch wenn ich das jetzt durchgelesen habe und etwas mehr weiß als vorher, weiss ich jetzt trotzden nicht wo ich ansetzen soll. Für weitere hilfreiche Tipps wäre ich dankbar 😉
|
gabberhead
(Themenstarter)
Anmeldungsdatum: 11. Februar 2017
Beiträge: 9
|
Ich habe es heute auch wieder den ganzen Tag versucht hinzugekommen, aber ich bin kaum weiter gekommen. Langsam habe ich auch kein Nerv mehr dafür, da ich schon seit 4 Tagen dran sitze und auf Hilfe angewiesen bin das hinzugekommen, da ich es alleine nicht schaffe und ich noch ein Leben neben der Sache habe.
Das einzige wo ich weiter gekommen bin, ist folgendes: Mit er iptables Config oben kam ich nicht von .244 auf .244, von .244 auf .243 und von .243 auf .243, von .243 auf .244 Dann habe ich folgendes gemacht: Ich habe dann folgendes in die iptables eingegeben: | -A FORWARD -i tun0 -j ACCEPT
-A FORWARD -i tun1 -j ACCEPT
|
Und jetzt komme ich auf alles drauf, wo ich vorher nicht drauf kam. So weit so gut. Das was ich jetzt noch brauche, sind Einstellungen damit die .243 User nicht auf .243 und nicht auf .244 zugreifen können aber die .244 User auf .244 und auf .243 zugreifen können. Danke im voraus. Ich hoffe, das ich hilfreiche Tips bekomme das zu bewerkstelligen zu können. Da ich nicht die nächsten Tage stundenlang wieder vorm Rechner sitze will und meine Kinder mich kaum sehen deswegen.
|
encbladexp
Ehemaliger
Anmeldungsdatum: 16. Februar 2007
Beiträge: 17449
|
Mach doch mal -j LOG statt REJECT als Regel, und beobachte was passiert du IP Kommunikation zwischen den Interfaces machst. Dann weißt du warum ich dir die Lektüre von TCP/IP Grundlagen und das ISO/OSI Modell ans Herz gelegt habe. Kurzfassung: Du kannst nicht über das Interface als solches filtern, sondern muss den IP Range der Interfaces als qualifier nehmen. Zusätzlich musst du mit stateful arbeiten. Ein Beispiel (nicht für dich geeignet, nur ein Beispiel):
-A FORWARD -i tun0 -p icmp -j ACCEPT
-A FORWARD -i tun1 -p icmp -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -d 192.168.2.0/24 -m state --state NEW -j ACCEPT
-A FORWARD -s 192.168.2.0/24 -d 192.168.1.0/24 -m state --state ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT
-A FORWARD -s 192.168.2.0/24 -d 192.168.2.0/24 -j REJECT
-A FORWARD -s 192.168.2.0/24 -d 192.168.1.0/24 -j REJECT tl;dr: Dein Problem ist das du dir ständig den "Rückkanal" der IP Kommunikation sperrst, dann hast du Timeouts. Spiel doch mal mit tcpdump, tshark oder Wireshark. Dann siehst du was du bewirkst. mfg Stefan PS: Du willst einen Server betreiben? Dann musst du wohl auch rudimentär Grundlagen über TCP/IP erlernen.
|
gabberhead
(Themenstarter)
Anmeldungsdatum: 11. Februar 2017
Beiträge: 9
|
Wie ich sehe komme ich hier nicht weiter mit der Hilfe. Das was ich mache ist in einem kleinen Bereich unter Freunden und Familie und ich mache sowas nicht Beruflich, wie warscheinlich du. Anstatt mir einfach die Lösung zu geben damit ich endlich Ruhe habe und fertig damit bin und ich wieder mehr Zeit mit meinen Kindern verbringen kann, gibst du mir Sachen die mich noch mehr Zeit kostet die ich sowieso nicht habe. Trotzdem Danke bis hierhin. Das ist doch ein Forum wo man Hilfe bekommen sollte und die sehe ich bis jetzt nicht. Die hat mich kein Stück weiter gebracht, ausser nur noch mehr Zeit gekostet. Falls Du mir richtig helfen willst, gerne, aber mir zu schreiben das ich das lesen soll oder die Grundlagen von XY kennen soll, das brauche ich nicht. Wenn das erstmal läuft wie ich will, interessiert mich das dann nicht mehr, da ich ja schon sagte das ich das NICHT Beruflich mache.
|
Into_the_Pit
Ehemalige
Anmeldungsdatum: 25. Juni 2008
Beiträge: 9490
Wohnort: Bochum
|
gabberhead schrieb: Anstatt mir einfach die Lösung zu geben damit ich endlich Ruhe habe und fertig damit bin und ich wieder mehr Zeit mit meinen Kindern verbringen kann, gibst du mir Sachen die mich noch mehr Zeit kostet die ich sowieso nicht habe.
Mit allem Respekt aber findest Du das nicht etwas sehr dreist? Du hast ein Problem und erwartest Hilfe in Form von "hier, ich hab mir in meiner Zeit für Dich Gedanken gemacht, damit Du das nicht machen musst" und argumentierst dann auch noch zum Schein mit der fehlenden Zeit für Deine Kinder? Wenn Dir die Zeit und auch die Lust fehlt, Dich mit den Hintergründen zu beschäftigen, dann lass es.
Das ist doch ein Forum wo man Hilfe bekommen sollte und die sehe ich bis jetzt nicht.
Das ist Schade, denn bisher hast Du sehr wertvolle Tipps bekommen (Hilfe zur Selbsthilfe), die Dir - wenn Du Dich genauer mit dem Thema beschäftigt hättest und die Grundlagen verstehen würdest - geholfen hätten. Sinnbildlich gesprochen versucht man Dir das fischen beizubringen, Du aber möchtest lieber weiterhin täglich nach einem Fisch kreischen und ihn bekommen.
Falls Du mir richtig helfen willst, gerne, aber mir zu schreiben das ich das lesen soll oder die Grundlagen von XY kennen soll, das brauche ich nicht. Wenn das erstmal läuft wie ich will, interessiert mich das dann nicht mehr, da ich ja schon sagte das ich das NICHT Beruflich mache.
Es geht nicht darum, ob man das beruflich macht oder nicht, Du möchtest etwas für Dich und Dein Umfeld erreichen also ist es auch Deine Pflicht, Dich mit den Grundlagen zu beschäftigen. Oder willst Du nur, dass andere für Dich denken, damit Du Dich nicht anstrengen musst? Tja, guess what. So funktioniert das hier aber nicht (Hilfe zur Selbsthilfe). Dir steht es natürlich frei ein System zu nutzen, welches auch gegen Bezahlung professionellen Support bietet oder Du kannst jederzeit ein örtliches Systemhaus beauftragen, welches die Arbeiten - auch gegen Entgeld - übernimmt aber das willst Du vermutlich auch nicht, denn für die Zeit und die Arbeit möchtest Du nichts bezahlen, sonst hättest Du ja nicht in einem Forum nach Hilfe einer Lösung gefragt.
|