Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Iptables - Adressen blockieren

Frage Linux Linux Netzwerk

Mitglied: Badger

Badger (Level 2) - Jetzt verbinden

11.06.2013 um 11:49 Uhr, 1957 Aufrufe, 20 Kommentare

Hallo Leute,

ich habe folgenden Netzaufbau:
df8c72de9918166508103786322f712d - Klicke auf das Bild, um es zu vergrößern

Nun möchte ich gerne, dass die W-Lan Geräte (IP: 192.168.0.xxx) keinen Zugriff auf die Geräte mit den IPs 172.21.0.xxx haben.
Das ganze lässt sich soweit auch super mit iptables, genau mit "iptables -I FORWARD -m iprange --src-range 172.21.0.1-172.21.0.254 -j DROP", lösen.
Allerdings habe ich so das Problem, dass auch das Internet nicht geht, da ja 172.21.0.1 mein Gateway ist.
Gibt es mit iptables irgendeine Lösung, dass die 172.21.0.xxx Adressen nicht aufrufbar sind aber das Internet trotzdem?
Oder ist die einzige Lösung, den W-Lan Router direkt am Internet-Router anzuschließen?
172.21.0.1 aus dem Block Bereich auszunehmen ist für mich keine Alternative.

Danke im Voraus
Patrick
Mitglied: domestone
11.06.2013 um 11:54 Uhr
Wenn es dein Switch unterstüzt mach zwei verschiedene v-Lans?
Bitte warten ..
Mitglied: Badger
11.06.2013 um 12:01 Uhr
Zitat von domestone:
Wenn es dein Switch unterstüzt mach zwei verschiedene v-Lans?

Leider ist der Switch nur ein kleinerer Cisco, der unmanaged ist. Da es sich bei hier um einen Netzwerkaufbau einer kleinen Organisation handelt, steht ein Neukauf leider nicht zur Option.
Bitte warten ..
Mitglied: Lochkartenstanzer
11.06.2013, aktualisiert um 12:25 Uhr
Zitat von Badger:
172.21.0.1 aus dem Block Bereich auszunehmen ist für mich keine Alternative.

Wieso ist das keine Alternative?

Du könntest natürlich der Regel noch ein dst-range hinzufügen, so daß dann der gesamte bereich so bleiben könnte.

lks
Bitte warten ..
Mitglied: Badger
11.06.2013, aktualisiert um 12:41 Uhr
Zitat von Lochkartenstanzer:
> Zitat von Badger:
> ----
> 172.21.0.1 aus dem Block Bereich auszunehmen ist für mich keine Alternative.

Wieso ist das keine Alternative?
Weil der Server auch als File- und Webserver dient. Und auf diese sollen die 192.168.0.xxx Adressen keinen Zugriff haben.

Zitat von Lochkartenstanzer:
Du könntest natürlich der Regel noch ein dst-range hinzufügen, so daß dann der gesamte Bereich so bleiben
könnte.

Wie darf ich das genau verstehen?
so?
iptables -I FORWARD -m iprange --dst-range 0.0.0.0-172.20.254.254 -j ACCEPT
iptables -I FORWARD -m iprange --dst-range 172.21.1.1-254.254.254.254 -j ACCEPT
Bitte warten ..
Mitglied: Lochkartenstanzer
11.06.2013 um 13:45 Uhr
Zitat von Badger:

ich meinte etwa so:
iptables -I FORWARD -m iprange --src-range 172.21.0.1-172.21.0.254 --dst-range 192.168.0.2-192.168.0.254 -j DROP 
iptables -I FORWARD -m iprange --dst-range 172.21.0.1-172.21.0.254 --src-range 192.168.0.2-192.168.0.254 -j DROP
aber ich sehe gerade, daß nicht Dein Router das filtern soll, sondern Dein Server. (oder kann Dein Router iptables?)

Am Server selbst kannst Du nicht verhindern, daß Dein WLAN-Router die beiden Netze verbindet.

Oder mal das bind oben deutlicher, damit man sieht, ob die beiden Netze auf demselben Segment laufen ider nicht.

lks
Bitte warten ..
Mitglied: Badger
11.06.2013 um 14:05 Uhr
Zitat von Lochkartenstanzer:
aber ich sehe gerade, daß nicht Dein Router das filtern soll, sondern Dein Server. (oder kann Dein Router iptables?)

Mein Router kann iptables und über dem möchte ich das auch filtern. Nicht über den Server.
Sorry, habe ich vergessen zum anführen in der Einleitung.

ich meinte etwa so:
> iptables -I FORWARD -m iprange --src-range 172.21.0.1-172.21.0.254 --dst-range 192.168.0.2-192.168.0.254 -j DROP 
> 

Wenn ich das jetzt richtig deute (Sorry - iptables sind für mich Neuland):
Blockiere alle Anfragen an 172.21.0.1 - 172.21.0.254 die von 192.168.0.2-192.168.0.254 kommen. Ist das so korrekt?

Wenn ja ist das in meinem Fall das gleiche wie "iptables -I FORWARD -m iprange --src-range 172.21.0.1-172.21.0.254 -j DROP", da an dem W-Lan Router sowieso nur Geräte mit dem IP-Bereich 192.169.0.XXX hängen.
Das Ändert aber trotzdem nicht, dass die 192.168.0.XXX Geräte nicht ins Internet kommen, da 172.21.0.1 der Gateway ist.
Bitte warten ..
Mitglied: matthew77
12.06.2013 um 06:48 Uhr
versuch mal so :

iptables -A FORWARD -d 172.21.0.1/24 -j ACCEPT

iptables -A FORWARD -m iprange --src-range 192.168.0.100-192.168.0.103 --dst-range 172.21.0.100-172.21.0.103 -j DROP

Gruß
m
Bitte warten ..
Mitglied: Badger
12.06.2013 um 07:51 Uhr
Zitat von matthew77:
versuch mal so :

iptables -A FORWARD -d 172.21.0.1/24 -j ACCEPT

iptables -A FORWARD -m iprange --src-range 192.168.0.100-192.168.0.103 --dst-range 172.21.0.100-172.21.0.103 -j DROP

Gruß
m

Danke. Werde morgen berichten!
Bitte warten ..
Mitglied: Badger
12.06.2013 um 21:22 Uhr
Funktioniert leider nicht.

Vlt vereinfacht gesagt was ich will:
Die IP-Adressen 192.168.0.XXX sollen keinen direkten Zugriff auf das 172.21.0.XXX Netz haben. Auch keinen direkten Zugriff auf 172.21.0.1.
Aber die Adresse 172.21.0.1 soll als Gateway verfügbar sein.
Geht sowas überhaupt?
Bitte warten ..
Mitglied: Badger
12.06.2013 um 21:43 Uhr
Ich bin nun selbst auf eine Lösung/Workaround gekommen:

01.
iptables -I FORWARD -m iprange --src-range 172.21.0.2-172.21.0.254 -j DROP 
02.
iptables -I FORWARD -p tcp -d 172.21.0.1 --dport 20 -j DROP 
03.
iptables -I FORWARD -p tcp -d 172.21.0.1 --dport 21 -j DROP 
04.
iptables -I FORWARD -p tcp -d 172.21.0.1 --dport 22 -j DROP 
05.
iptables -I FORWARD -p tcp -d 172.21.0.1 --dport 23 -j DROP 
06.
iptables -I FORWARD -p tcp -d 172.21.0.1 --dport 80 -j DROP 
07.
iptables -I FORWARD -p tcp -d 172.21.0.1 --dport 137 -j DROP 
08.
iptables -I FORWARD -p tcp -d 172.21.0.1 --dport 138 -j DROP 
09.
iptables -I FORWARD -p tcp -d 172.21.0.1 --dport 139 -j DROP 
10.
iptables -I FORWARD -p tcp -d 172.21.0.1 --dport 443 -j DROP 
11.
iptables -I FORWARD -p tcp -d 172.21.0.1 --dport 445 -j DROP
Somit sperre ich einfach die Ports für http und smb am Server. Internet geht.
Gibt's von euch da irgendwelche sicherheitstechnischen Bedenken?
Bitte warten ..
Mitglied: matthew77
12.06.2013 um 22:14 Uhr
01.
iptables -I FORWARD -m iprange --src-range 172.21.0.2-172.21.0.254 -j DROP
nach --src-range kommt eigentlich der Quelladress-Range : 192.168.0.xxx - 192.168.0.yyy


Die Befehle 2 bis 11 kannst du so abkürzen:

iptables -I FORWARD -p tcp -d 172.21.0.1 -m multiport -dport 20,21,23,80,137,138,139,443,445 -j DROP


Ansonsten ist das ok !
Bitte warten ..
Mitglied: matthew77
12.06.2013 um 22:30 Uhr
Dann würde ich das so realisieren:

01.
iptables -A FORWARD -m iprange --src-range 192.168.0.100-192.168.0.103 --dst-range 172.21.0.2-172.21.0.254 -j DROP 
02.
iptables -A FORWARD -p tcp -d 172.21.0.1 -m multiport -dport 20,21,23,80,137,138,139,443,445 -j DROP
Bitte warten ..
Mitglied: Badger
12.06.2013 um 22:33 Uhr
herzlichen Dank!
Dann werde ich das so machen. Hoffentlich klappt alles so wie ich mir das vorstelle
Bitte warten ..
Mitglied: matthew77
12.06.2013 um 23:02 Uhr
Gern geschehen !

Ansonsten kannst du dich wieder melden
Bitte warten ..
Mitglied: Badger
13.06.2013 um 18:55 Uhr
So jetzt muss ich nochmal lästig sein:
Gibt es einem Grund, warum es mit der Angabe der Schnittstelle nicht mag?
iptables -I FORWARD -i ath0 -p tcp -d 172.21.0.1 -m multiport --dport 20,21,22,23,80,137,138,139,443,445 -j DROP
Der Name der Schnittstelle stimmt. Hab ich mit ifconfig schon verglichen. Und die Werte trägt er in der iptable auch richtig ein:
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) 
 pkts bytes target     prot opt in     out     source               destination          
    0     0 DROP       tcp  --  ath0 *       0.0.0.0/0            172.21.0.1          multiport dports 20,21,22,23,80,137,138,139,443,445 
Sobald ich die Angabe der Schnittstelle weg mache, funktioniert es.
Jemand eine Idee?
Bitte warten ..
Mitglied: matthew77
13.06.2013 um 19:05 Uhr
Gib bitte das IN- und OUT-Interface zusammen ein: (angenommen das Ausgags-Interface wäre eth0)

01.
 
02.
iptables -I FORWARD -i ath0 -o eth0 -p tcp -d 172.21.0.1 -m multiport --dport 20,21,22,23,80,137,138,139,443,445 -j DROP 
03.
 
Bitte warten ..
Mitglied: Badger
13.06.2013, aktualisiert um 19:17 Uhr
gerade probiert. Ändert leider nichts

EDIT: Und ja, eth0 ist mein Ausgangs-Interface
Bitte warten ..
Mitglied: matthew77
13.06.2013 um 19:45 Uhr
Es könnte sein, dass eine alte iptables-Regel noch im Speicher ist, um die Tabellen zu flashen gib bitte "iptables -F" am Anfang ein:

01.
 
02.
iptables -F 
03.
iptables -A FORWARD -m iprange --src-range 192.168.0.100-192.168.0.103 --dst-range 172.21.0.2-172.21.0.254 -j DROP  
04.
iptables -A FORWARD -i ath0 -o eth0 -p tcp -d 172.21.0.1 -m multiport --dport 20,21,22,23,80,137,138,139,443,445 -j DROP 
05.
 

Falls das nicht klappen sollte, müssen wir den Befehl mit -j LOG erweitern und dann in Log-File den Fehler suchen ...
Bitte warten ..
Mitglied: Badger
13.06.2013 um 21:12 Uhr
Danke dir. werde ich ausprobieren. Komme wahrscheinlich aber erst Anfang nächster Woche wieder dazu. Werde berichten!
Die Logs sind dann wahrscheinlich unter /var/log/ zu finden, oder?
Bitte warten ..
Mitglied: Badger
20.06.2013 um 18:30 Uhr
Hat zwar etwas gedauert aber gerade probiert:
funktioniert leider nicht.
Habe nun zum Schluss auf "logdrop" geändert. Leider nichts im log zu finden. Aber komischerweise auch nicht, wenn ich es ohne Input und source mache. Obwohl das log-Verzeichnis 100% stimmt.
Schön langsam bin ich soweit, dass ich mir wirklich einen zweiten router kaufe!
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
SAN, NAS, DAS
gelöst QNAP TS-453U - drei IP-Adressen für iSCSI , SMB , Management (2)

Frage von caspi-pirna zum Thema SAN, NAS, DAS ...

Outlook & Mail
Spam von angeblich eigenen internen Adressen (6)

Frage von JensDND zum Thema Outlook & Mail ...

Windows 10
gelöst Microsoft Konten blockieren Gruppenrichtlinien (7)

Frage von markaurel zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...