iptables Frage

Maximilian Wilhelm max at rfc2324.org
Fri Sep 12 16:16:11 CEST 2008


Anno domini 2008 Ralph Meyer scripsit:

Hi!

> > Erklär doch nochmal Deine Topologie und was Du genau erreichen willst.
> > Das erschliesst sich mir noch nicht ganz.

> Also ein Netzwerk 192.168.1.0/24. Das hat einen Router fürs Internet.
> Dann ein WLAN 192.168.2.0/24. Dieses wird über einen zweiten Router
> ins erste Netz geroutet. Nun sollen die Clients aus dem WLAN über
> den ersten Router zwar ins Internet aber nicht auf einen Host aus
> dem 192.168.1.0/24 zugreifen können. So die Idee.

Warum schreibst Du das nicht gleich?
Von zwei Routern war vorher keine Rede.

> Wenn ich die Policy der FORWARD Chain auf ACCEPT setze und dann
> den Zugriff auf das 192.168.1.0/24 mittels

> iptables -A FORWARD -d 192.168.1.0/24 -j DROP

> verbiete, funktioniert das. Nun will ich aber die Policy auf DROP
> setzen und den Verkehr der nicht für das 192.168.1.0/24 ist,
> aktzeptieren.

> Also iptables -A FORWARD -d ! 192.168.1.0/24 -j ACCEPT.

> Aber das funktioniert nicht. Jeder kann aus dem WLAN auf alles
> im ersten LAN zugreifen.

Auf welchem Router fügst Du denn die Reglen ein?
Ich hoffe ja mal auf dem zweiten (WLAN <-> LAN)

Ich würde auch "gründlich" machen:
 iptables -P FORWARD DROP

 iptables -F FORWARD

 iptables -A FORWARD -i <wlanX> -s 192.168.2.0/24 -o <ethX> -d ! 192.168.0.0/16 -j ACCEPT
 iptables -A FORWARD -m state --state ESTABLISHED,RELATED
 iptables -A FORWARD -m limit  ... -j LOG
 iptables -A FORWARD -j REJECT --reject-with icmp-admin-prohibited


Ciao
Max
-- 
	Follow the white penguin.



More information about the Linux mailing list