Routing und Firewall zw 3 netzen, wie?

D

der2of6

Grünschnabel
Hallo,
Erst mal eine übersicht über mein system:

Der router besitzt 3 Netze:

eth0 10.5.11.254
eth1 10.6.1.7
eth2//ppp0

Sowie einige routen nach 10.0.0.0/255.0.0.0 sowie einige echte ips (62.158.x.y) über eth1 nach 10.6.1.254.

Ich habe eine firewall mit dem script "firewall-jay" erstellt und komme von den clients auch wunderbar in alle netze.
Vom router selber komme ich aber NICHT nach 10.0.0.0 und auch die route nach 62.x.y.z geht nicht.
Pingen kann ich schon, aber alle anderen sachen wie http etc gehen nicht.

Ich hoffe das ist soweit nachzuvollziehen

Wenn ich das firewall skript beende dann geht der zugriff wieder, allerdings geht dann kein dsl, was ja logisch ist.

Hat jemand eine lösung?

Ich kann wenn erwünscht auch mal die iptables posten.

Ich nehme auch auch andere firewall skripe in kauf, solange sie portforwarding von dynamischen ips können und man für die konfig nicht unbedingt einen X-server braucht, weil die kiste hat keinen.

Ich hoffe jemand kann mir weiter helfen
danke im vorraus
der2of6

PS:
Wenn das eher ins firewall-forum passt, dann bitte verschieben
 
Zuletzt bearbeitet:
So wie das klingt stimmen deine Routen zwischen den netzen, ansonsten könntest du nicht Pingen. Ein 'normales' Firewallscript sperrt alle Verbindungen außer jene du freigibst. Überlege dir einmal welche Verbindungen du von welches Netz ins Andere zulassen willst, und poste dann mal deine Anforderungen und dein derzeitiges FW-Script.
 
Also es soll eigentlich nur von ppp0 in richtung eth0 und eth1 eine firewall sein und einige ports weitergeleitet werdeb.

Zwischen den einzelnen netzwerken auf eth0 und eth1 soll einfach nur ein routing stattfinden, da hier die firewalls auf anderen rechnern sitzen.

Und wie gesagt, von anderen rechner aus geht der zugriff in die anderen netze bei eth1, nur vom router nicht.

Und hier nun die Regeln, die mittels dem hier erstellt wurden.


PHP: 
# Generated by iptables-save v1.2.11 on Mon Dec 27 09:50:07 2004
*filter
:INPUT DROP [17:1593]
:FORWARD DROP [2:96]
:OUTPUT ACCEPT [2458:231939]
:JAY_CHECK_ICMP - [0:0]
:JAY_CHECK_TCP - [0:0]
:JAY_FWD_INET_LAN - [0:0]
:JAY_FWD_LAN_INET - [0:0]
:JAY_FWD_LAN_LAN - [0:0]
:JAY_INETIN - [0:0]
:JAY_INETIN_TCP - [0:0]
:JAY_INETIN_UDP - [0:0]
:JAY_INETOUT - [0:0]
:JAY_LANIN - [0:0]
:JAY_LANIN_TCP - [0:0]
:JAY_LANIN_UDP - [0:0]
:JAY_LANOUT - [0:0]
:JAY_SPOOFING - [0:0]
:JAY_SYNFLOOD - [0:0]
-A INPUT -i lo -j ACCEPT 
-A INPUT -i eth0 -j JAY_LANIN 
-A INPUT -i eth1 -j JAY_LANIN 
-A INPUT -i ppp0 -j JAY_INETIN 
-A FORWARD -i eth1 -o eth2 -j ACCEPT 
-A FORWARD -i eth2 -o eth1 -j ACCEPT 
-A FORWARD -i eth0 -o eth1 -j JAY_FWD_LAN_LAN 
-A FORWARD -i eth1 -o eth0 -j JAY_FWD_LAN_LAN 
-A FORWARD -i ppp0 -o eth0 -j JAY_FWD_INET_LAN 
-A FORWARD -i ppp0 -o eth1 -j JAY_FWD_INET_LAN 
-A FORWARD -i eth0 -o ppp0 -j JAY_FWD_LAN_INET 
-A FORWARD -i eth1 -o ppp0 -j JAY_FWD_LAN_INET 
-A FORWARD -i ppp0 -p tcp -m tcp --dport 6662 -m state --state NEW -j ACCEPT 
-A FORWARD -i ppp0 -p tcp -m tcp --dport 6666 -m state --state NEW -j ACCEPT 
-A FORWARD -i ppp0 -p udp -m udp --dport 6672 -m state --state NEW -j ACCEPT 
-A FORWARD -i eth1 -o eth2 -j ACCEPT 
-A FORWARD -i eth2 -o eth1 -j ACCEPT 
-A OUTPUT -o eth0 -j JAY_LANOUT 
-A OUTPUT -o eth1 -j JAY_LANOUT 
-A OUTPUT -o ppp0 -j JAY_INETOUT 
-A JAY_CHECK_ICMP -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT 
-A JAY_CHECK_ICMP -p icmp -m icmp --icmp-type 17 -j DROP 
-A JAY_CHECK_ICMP -p icmp -m icmp --icmp-type 5/0 -j DROP 
-A JAY_CHECK_ICMP -p icmp -m icmp --icmp-type 5/1 -j DROP 
-A JAY_CHECK_ICMP -p icmp -m icmp --icmp-type 5/0 -j DROP 
-A JAY_CHECK_ICMP -p icmp -m icmp --icmp-type 5/2 -j DROP 
-A JAY_CHECK_ICMP -p icmp -m icmp --icmp-type 5/3 -j DROP 
-A JAY_CHECK_ICMP -p icmp -m icmp --icmp-type 13 -j DROP 
-A JAY_CHECK_ICMP -p icmp -m icmp --icmp-type 14 -j DROP 
-A JAY_CHECK_ICMP -j ACCEPT 
-A JAY_CHECK_TCP -p tcp -m tcp ! --tcp-flags SYN,RST,ACK SYN -m state --state NEW -j DROP 
-A JAY_CHECK_TCP -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP 
-A JAY_CHECK_TCP -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP 
-A JAY_CHECK_TCP -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP 
-A JAY_CHECK_TCP -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP 
-A JAY_CHECK_TCP -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP 
-A JAY_CHECK_TCP -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP 
-A JAY_CHECK_TCP -m state --state INVALID -j DROP 
-A JAY_CHECK_TCP -p tcp -m tcp --tcp-option 64 -j DROP 
-A JAY_CHECK_TCP -p tcp -m tcp --tcp-option 128 -j DROP 
-A JAY_FWD_INET_LAN -p tcp -j JAY_CHECK_TCP 
-A JAY_FWD_INET_LAN -p icmp -j JAY_CHECK_ICMP 
-A JAY_FWD_INET_LAN -j JAY_SPOOFING 
-A JAY_FWD_INET_LAN -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A JAY_FWD_LAN_INET -p icmp -m icmp --icmp-type 0 -m limit --limit 1/sec --limit-burst 1 -j LOG --log-prefix "Dopped PING reply to outside" --log-level 6 
-A JAY_FWD_LAN_INET -p icmp -m icmp --icmp-type 0 -j DROP 
-A JAY_FWD_LAN_INET -p icmp -m state --state INVALID -j DROP 
-A JAY_FWD_LAN_INET -p tcp -j JAY_CHECK_TCP 
-A JAY_FWD_LAN_INET -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu 
-A JAY_FWD_LAN_INET -f -j DROP 
-A JAY_FWD_LAN_INET -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT 
-A JAY_FWD_LAN_LAN -j ACCEPT 
-A JAY_INETIN -j JAY_SPOOFING 
-A JAY_INETIN -p tcp -j JAY_INETIN_TCP 
-A JAY_INETIN -p udp -j JAY_INETIN_UDP 
-A JAY_INETIN -p icmp -j JAY_CHECK_ICMP 
-A JAY_INETIN -m state --state ESTABLISHED -j ACCEPT 
-A JAY_INETIN -j DROP 
-A JAY_INETIN_TCP -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j JAY_SYNFLOOD 
-A JAY_INETIN_TCP -j JAY_CHECK_TCP 
-A JAY_INETIN_TCP -i ppp0 -p tcp -m tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT 
-A JAY_INETIN_TCP -i ppp0 -p tcp -m tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT 
-A JAY_INETIN_TCP -i ppp0 -p tcp -m tcp --dport 123 -m state --state NEW,ESTABLISHED -j ACCEPT 
-A JAY_INETIN_TCP -p tcp -m tcp --dport 1024:65535 -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A JAY_INETIN_UDP -s 10.5.11.254 -p udp -m udp --sport 53 -m state --state ESTABLISHED -j ACCEPT 
-A JAY_INETIN_UDP -p udp -m udp --dport 1024:65535 -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A JAY_LANIN -s 10.5.11.0/255.255.255.0 -i eth0 -p tcp -j JAY_LANIN_TCP 
-A JAY_LANIN -s 10.5.11.0/255.255.255.0 -i eth0 -p udp -j JAY_LANIN_UDP 
-A JAY_LANIN -s 10.6.1.0/255.255.255.0 -i eth1 -p tcp -j JAY_LANIN_TCP 
-A JAY_LANIN -s 10.6.1.0/255.255.255.0 -i eth1 -p udp -j JAY_LANIN_UDP 
-A JAY_LANIN -p icmp -j ACCEPT 
-A JAY_LANIN_TCP -m state --state NEW,ESTABLISHED -j ACCEPT 
-A JAY_LANIN_TCP -p tcp -m tcp --dport 1024:65535 -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A JAY_LANIN_UDP -m state --state NEW,ESTABLISHED -j ACCEPT 
-A JAY_LANIN_UDP -p udp -m udp --dport 1024:65535 -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A JAY_LANOUT -d 10.5.11.0/255.255.255.0 -o eth0 -j ACCEPT 
-A JAY_LANOUT -d 10.6.1.0/255.255.255.0 -o eth1 -j ACCEPT 
-A JAY_SPOOFING -s 0.0.0.0/255.0.0.0 -m limit --limit 1/sec --limit-burst 1 -j LOG --log-prefix "SPOOFED Packet " --log-level 6 
-A JAY_SPOOFING -s 10.0.0.0/255.0.0.0 -m limit --limit 1/sec --limit-burst 1 -j LOG --log-prefix "SPOOFED Packet " --log-level 6 
-A JAY_SPOOFING -s 127.0.0.0/255.0.0.0 -m limit --limit 1/sec --limit-burst 1 -j LOG --log-prefix "SPOOFED Packet " --log-level 6 
-A JAY_SPOOFING -s 169.254.0.0/255.255.0.0 -m limit --limit 1/sec --limit-burst 1 -j LOG --log-prefix "SPOOFED Packet " --log-level 6 
-A JAY_SPOOFING -s 172.16.0.0/255.240.0.0 -m limit --limit 1/sec --limit-burst 1 -j LOG --log-prefix "SPOOFED Packet " --log-level 6 
-A JAY_SPOOFING -s 192.0.2.0/255.255.255.0 -m limit --limit 1/sec --limit-burst 1 -j LOG --log-prefix "SPOOFED Packet " --log-level 6 
-A JAY_SPOOFING -s 192.168.0.0/255.255.0.0 -m limit --limit 1/sec --limit-burst 1 -j LOG --log-prefix "SPOOFED Packet " --log-level 6 
-A JAY_SPOOFING -s 224.0.0.0/240.0.0.0 -m limit --limit 1/sec --limit-burst 1 -j LOG --log-prefix "SPOOFED Packet " --log-level 6 
-A JAY_SPOOFING -s 240.0.0.0/248.0.0.0 -m limit --limit 1/sec --limit-burst 1 -j LOG --log-prefix "SPOOFED Packet " --log-level 6 
-A JAY_SPOOFING -s 248.0.0.0/248.0.0.0 -m limit --limit 1/sec --limit-burst 1 -j LOG --log-prefix "SPOOFED Packet " --log-level 6 
-A JAY_SPOOFING -s 255.255.255.255 -m limit --limit 1/sec --limit-burst 1 -j LOG --log-prefix "SPOOFED Packet " --log-level 6 
-A JAY_SPOOFING -s 217.232.238.146 -m limit --limit 1/sec --limit-burst 1 -j LOG --log-prefix "SPOOFED Packet " --log-level 6 
-A JAY_SPOOFING -s 10.5.11.0/255.255.255.0 -m limit --limit 1/sec --limit-burst 1 -j LOG --log-prefix "SPOOFED Packet " --log-level 6 
-A JAY_SPOOFING -s 10.6.1.0/255.255.255.0 -m limit --limit 1/sec --limit-burst 1 -j LOG --log-prefix "SPOOFED Packet " --log-level 6 
-A JAY_SPOOFING -d 255.255.255.255 -m limit --limit 1/sec --limit-burst 1 -j LOG --log-prefix "SPOOFED Packet " --log-level 6 
-A JAY_SPOOFING -d 0.0.0.0 -m limit --limit 1/sec --limit-burst 1 -j LOG --log-prefix "SPOOFED Packet " --log-level 6 
-A JAY_SPOOFING -s 0.0.0.0/255.0.0.0 -j DROP 
-A JAY_SPOOFING -s 10.0.0.0/255.0.0.0 -j DROP 
-A JAY_SPOOFING -s 127.0.0.0/255.0.0.0 -j DROP 
-A JAY_SPOOFING -s 169.254.0.0/255.255.0.0 -j DROP 
-A JAY_SPOOFING -s 172.16.0.0/255.240.0.0 -j DROP 
-A JAY_SPOOFING -s 192.0.2.0/255.255.255.0 -j DROP 
-A JAY_SPOOFING -s 192.168.0.0/255.255.0.0 -j DROP 
-A JAY_SPOOFING -s 224.0.0.0/240.0.0.0 -j DROP 
-A JAY_SPOOFING -s 240.0.0.0/248.0.0.0 -j DROP 
-A JAY_SPOOFING -s 248.0.0.0/248.0.0.0 -j DROP 
-A JAY_SPOOFING -s 255.255.255.255 -j DROP 
-A JAY_SPOOFING -s 217.232.238.146 -j DROP 
-A JAY_SPOOFING -s 10.5.11.0/255.255.255.0 -j DROP 
-A JAY_SPOOFING -s 10.6.1.0/255.255.255.0 -j DROP 
-A JAY_SPOOFING -d 255.255.255.255 -j DROP 
-A JAY_SPOOFING -d 0.0.0.0 -j DROP 
-A JAY_SYNFLOOD -m limit --limit 4/sec --limit-burst 4 -j RETURN 
-A JAY_SYNFLOOD -j DROP 
COMMIT
# Completed on Mon Dec 27 09:50:07 2004
# Generated by iptables-save v1.2.11 on Mon Dec 27 09:50:07 2004
*mangle
:PREROUTING ACCEPT [22797413:16167138216]
:INPUT ACCEPT [9376221:8706931804]
:FORWARD ACCEPT [13209078:7453778655]
:OUTPUT ACCEPT [8961965:7774004283]
:POSTROUTING ACCEPT [22171131:15227959916]
COMMIT
# Completed on Mon Dec 27 09:50:07 2004
# Generated by iptables-save v1.2.11 on Mon Dec 27 09:50:07 2004
*nat
:PREROUTING ACCEPT [124421:5623909]
:POSTROUTING ACCEPT [75432:4473275]
:OUTPUT ACCEPT [1682:180866]
-A PREROUTING -d 217.232.238.146 -i ppp0 -p tcp -m tcp --dport 6662 -j DNAT --to-destination 10.5.11.1 
-A PREROUTING -d 217.232.238.146 -i ppp0 -p tcp -m tcp --dport 6666 -j DNAT --to-destination 10.5.11.1 
-A PREROUTING -d 217.232.238.146 -i ppp0 -p udp -m udp --dport 6672 -j DNAT --to-destination 10.5.11.1 
-A POSTROUTING -s 10.5.11.0/255.255.255.0 -o ppp0 -j MASQUERADE 
-A POSTROUTING -s 10.6.1.0/255.255.255.0 -o ppp0 -j MASQUERADE 
COMMIT
# Completed on Mon Dec 27 09:50:07 2004
 
Anmelden, um zu antworten.

Ähnliche Themen

Wired-Lan komisches Verhalten
Wired-Lan komisches Verhalten: Hallo zusammen, ich hab bei meinem router ein sehr komisches Verhalten festgestellt. Leider lässt es sich nicht einfach reproduzieren, weil manchmal geht es...

Routing mehrere Netzwerkkarten
Routing mehrere Netzwerkkarten: Guten Abend, nach dem ich das Problem mit dem SIP und der Firewall gelöst habe, stehe ich vor dem Problem mit dem Routing. Der Gateway hat jetzt 3...

Probleme mit Subnetz Routing
Probleme mit Subnetz Routing: Einen wunderschönen guten Abend allen, ich weiß mir momentan einfach nicht weiter und hoffe das mir jemand bei meinem "Problem" behiflich sein kann...

Mehrere Schnittstellen, teilweise gleiche Netze, aber Routing trotzdem verhindern?
Mehrere Schnittstellen, teilweise gleiche Netze, aber Routing trotzdem verhindern?: Hallo zusammen, ich hoffe für dieses Problem das richtige Forum genommen zu haben. Falls nicht sagt es, aber erschlagt mich bitte nicht. ;) Folgende...

IP policy routing
IP policy routing: Hallo, ich bin neu. Sowohl im Forum als auch im Thema. Ich kämpfe seit 2 Wochen mit dem folgenden Problem und brauche dringend Hilfe, da ich das Thema...

Neueste Beiträge

Neueste Themen

Zurück
Oben