iptables Frage
Maximilian Wilhelm
max at rfc2324.org
Fri Sep 12 16:16:11 CEST 2008
Anno domini 2008 Ralph Meyer scripsit:
Hi!
> > Erklär doch nochmal Deine Topologie und was Du genau erreichen willst.
> > Das erschliesst sich mir noch nicht ganz.
> Also ein Netzwerk 192.168.1.0/24. Das hat einen Router fürs Internet.
> Dann ein WLAN 192.168.2.0/24. Dieses wird über einen zweiten Router
> ins erste Netz geroutet. Nun sollen die Clients aus dem WLAN über
> den ersten Router zwar ins Internet aber nicht auf einen Host aus
> dem 192.168.1.0/24 zugreifen können. So die Idee.
Warum schreibst Du das nicht gleich?
Von zwei Routern war vorher keine Rede.
> Wenn ich die Policy der FORWARD Chain auf ACCEPT setze und dann
> den Zugriff auf das 192.168.1.0/24 mittels
> iptables -A FORWARD -d 192.168.1.0/24 -j DROP
> verbiete, funktioniert das. Nun will ich aber die Policy auf DROP
> setzen und den Verkehr der nicht für das 192.168.1.0/24 ist,
> aktzeptieren.
> Also iptables -A FORWARD -d ! 192.168.1.0/24 -j ACCEPT.
> Aber das funktioniert nicht. Jeder kann aus dem WLAN auf alles
> im ersten LAN zugreifen.
Auf welchem Router fügst Du denn die Reglen ein?
Ich hoffe ja mal auf dem zweiten (WLAN <-> LAN)
Ich würde auch "gründlich" machen:
iptables -P FORWARD DROP
iptables -F FORWARD
iptables -A FORWARD -i <wlanX> -s 192.168.2.0/24 -o <ethX> -d ! 192.168.0.0/16 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -m limit ... -j LOG
iptables -A FORWARD -j REJECT --reject-with icmp-admin-prohibited
Ciao
Max
--
Follow the white penguin.
More information about the Linux
mailing list