elpimo
Goto Top

DD-WRT und Whitelisting

DD-WRT Router als Firewall benutzen

Hallo liebe Community!

Ich habe derzeit ein kleines Projekt laufen in dem ich gerne einen Router mit DD-WRT Software als Hardware-Firewall benutzen möchte. Derzeit übernimmt diese Aufgabe noch eine Linux-Box die ich mit Hilfe von iptables konfiguriert habe. Da mir die aber zu viel Strom verbraucht möchte ich das ganze nun mit einem umgerüsteten Router realisieren.

Kurz zur Erklärung: Ich nutze ein "öffentliches" LAN um meine Internetverbindung im Haus zu verteilen. Jetzt möchte ich aber nicht, das jeder der Zugang zu dem LAN hat, auch gleichzeitig ins Netz kann. Da ich nicht absehen kann, wer alles mit dran hängt, will ich anstelle einer Blacklist (was mit DD-WRT ein Kinderspiel ist) eine Whitelist erstellen, auf der nur mein PC auftaucht.

Unter Linux was das ein Klacks. Einfach die Policies soweit geändert, dass sie jeden aussperren und dann eine Ausnahme hinzugefügt.

Ich dachte, das ließe sich analog auf die iptables von DD-WRT übertragen.

Aktueller stand der Dinge ist: Ich kann alle aussperren, aber die Ausnahme für mich selbst funktioniert nicht so wie gewollt. Ich komme mit der Vordefinierten IP in die Routerkonfiguration, aber nicht darüber hinaus, also ins Internet.

Die Konfiguration sieht aktuell so aus:

PC (10.11.11.2 / 255.255.0.0.)
|
FirewallRouter (10.11.11.1 / 255.255.0.0)
|
InternetRouter (192.168.2.1 / 255.255.255.0) -> ISP

Der FirewallRouter ist über seien WAN Port (192.168.2.8 / 255.255.255.0) mit dem Internetrouter verbunden. Ohne weitere Firewall-Einstellungen ist ein Internetzugriff ohne weiteres möglich, doch sobald ich Versuche alle Fremd-Rechner auszufiltern hänge ich auf dem Router fest und komme nicht weiter hinaus.


Der letzte Stand der iptables Konfiguration (im Netz gefunden und abgewandelt) die ich ausprobiert habe lautet:
# flush all tables 
iptables -t filter -F 
iptables -t nat -F 
iptables -t mangle -F 
iptables -t security -F 
iptables -t raw -F 

# policies for filter table 
iptables -t filter -P INPUT DROP 
iptables -t filter -P OUTPUT DROP 
iptables -t filter -P FORWARD DROP
iptables -t nat -P INPUT DROP 
iptables -t nat -P OUTPUT DROP 
iptables -t nat -P FORWARD DROP 
iptables -t filter -A INPUT -s 0.0.0.0/0 -d 10.11.11.2 -j ACCEPT
iptables -t filter -A OUTPUT -s 0.0.0.0/0 -d 10.11.11.2 -j ACCEPT
iptables -t filter -A FORWARD -s 0.0.0.0/0 -d 10.11.11.2 -j ACCEPT
iptables -t filter -A INPUT -s 10.11.11.2 -d 0.0.0.0/0 -j ACCEPT
iptables -t filter -A OUTPUT -s 10.11.11.2 -d 0.0.0.0/0 -j ACCEPT
iptables -t filter -A FORWARD -s 10.11.11.2 -d 0.0.0.0/0 -j ACCEPT
iptables -t nat -A INPUT -s 0.0.0.0/0 -d 10.11.11.2 -j ACCEPT
iptables -t nat -A OUTPUT -s 0.0.0.0/0 -d 10.11.11.2 -j ACCEPT
iptables -t nat -A FORWARD -s 0.0.0.0/0 -d 10.11.11.2 -j ACCEPT
iptables -t nat -A INPUT -s 10.11.11.2 -d 0.0.0.0/0 -j ACCEPT
iptables -t nat -A OUTPUT -s 10.11.11.2 -d 0.0.0.0/0 -j ACCEPT
iptables -t nat -A FORWARD -s 10.11.11.2 -d 0.0.0.0/0 -j ACCEPT

Warscheinlich hängt es nur an irgendeiner Kleinigkeit die ich übersehe, aber ich wäre für einen konkreten Tipp sehr dankbar. (Und bitte keine links zur iptables Doku, ich hab heute den ganzen Tag die verschiedensten Foren und Suchmaschienen gewälzt, aber alles was ich gefunden habe sind möglichkeiten wie man Webseiten whitelistet oder andere Leute die das gleiche Problem haben wie ich.)

Danke fürs lesen und die eventuelle Antwort.

mfg elpimo

Content-Key: 185421

Url: https://administrator.de/contentid/185421

Ausgedruckt am: 28.03.2024 um 11:03 Uhr