schorsch1985 Geschrieben 20. Juni 2008 Geschrieben 20. Juni 2008 Hallo Foren-Benutzer, ich habe folgendes Anliegen. Es sind 2 Internetleitungen mit jeweils einem DSL-Router vorhanden. Beide Leitungen haben feste IP-Adressen und sollen in Betrieb genommen werden. Ich bin der Meinung, dass dies mit Iptables realisierbar ist. Im Anhang seht ihr den Netzplan, welchen ich umsetzen möchte. Bisher funktioniert alles, nur der „Routing PC“ muss eingerichtet werden. 1. Regel: von 192.168.20.1 nach 192.168.10.1 soll alles durchgelassen werden (ALLOW ANY ANY) 2. Regel: von 192.168.30.1 nach 192.168.10.1 soll alles durchgelassen werden (ALLOW ANY ANY) 3. Regel: alle SMTP und POP3 Daten aus dem "Internen Netzwerk" sollen von 192.168.10.1 nach 192.168.30.1 geroutet werden (Leitung Provider #2) 4. Regel: alle anderen Daten aus dem "Internen Netzwerk" sollen von 192.168.10.1 nach 192.168.20.1 geroutet werden (Leitung Provider #1) Ist dies mit Hilfe von Iptables machbar? Wenn ja, wie? Ich bin für alle Ratschläge, Hinweise und Anregungen dankbar. Vielen Dank Mit freundlichen Grüßen schorsch Zitieren
t3quill4b0y Geschrieben 20. Juni 2008 Geschrieben 20. Juni 2008 Hi, hm , ich weiss nicht genau was du nun willst? Die Regeln hast du doch schon alle definiert, du musst sie nur noch in entsprechend in einem Script in die IPTABLES sytntax umbauen... Wenn du nur wissen willst ob das geht: ja das geht Danach musst halt noch das routing erlauben, default policy deiner chains auf DROP setzten und gut is. Grüßle Zitieren
Crash2001 Geschrieben 20. Juni 2008 Geschrieben 20. Juni 2008 Also für das Routing brauchst du jedenfalls kein iptables, sondern musst einfach nur eine statische Route einrichten. Von dem "Mail-Router" können ja laut deiner Definition eigentlich nur "Antworten auf deine POP3- und SMTP-Pakete" oder ungewollte Anfragen von aussen kommen. Das Anfragen von außen könntest du abblocken, indem du einfach keine Weiterleitung auf dem Router einrichtest bzw keinen Port manuell öffnest. Die Antwortpakete auf deine Anfragen werden hingegen automatisch an den richtigen Absender adressiert. Du müsstest bei den Regeln für den ausgehenden Verkehr die Weiterleitung der Pakete an den entsprechenden Port der Servers erlauben und der jeweiligen Leitung zuordnen. Das sollte eigentlich gehen. Standardports:POP3: Port 110 TCP/UDPPOP3 SSL: Port 995 TCP/UDPSMTP: Port 25 TCP/UDPSMTP SSL: Port 465 oder 587 TCP/UDP Es können natürlich auch andere Ports genutzt werden - das ist Einstellungssache auf dem jeweiligen Server. Standardmässig werden aber die oben genannten Ports verwendet. Wie das allerdings genau mit iptables umgesetzt wird, weiss ich nicht, da ich mich damit nicht auskenne. Zitieren
schorsch1985 Geschrieben 21. Juni 2008 Autor Geschrieben 21. Juni 2008 Wie richte ich die Routen ein? Das müsste ja auf dem "Routing-PC" umzusetzen sein... an den DSL-Routern muss ich ja net extra rumspielen. Danke für eure Antworten... Gruß schorsch Zitieren
t3quill4b0y Geschrieben 21. Juni 2008 Geschrieben 21. Juni 2008 Routen einzurichten ist eine grundlegende Arbeit, sollte man wissen. Gugst du "man route" oder "man ip" Zitieren
schorsch1985 Geschrieben 21. Juni 2008 Autor Geschrieben 21. Juni 2008 Ich glaube du stellst dir das einfacher vor, als das es wirklich ist. Wenn das eine grundlegende Arbeit ist, dann gib mir bitte mal ein Beispiel zu einer der Regeln oben. Ich hab nicht gefunden das man bei "route" einen port angeben kann und genau darum geht es ja... deshalb dachte ich es mit iptables umzusetzen. Beispiel bitte. Vielen Dank Grüße schorsch Zitieren
t3quill4b0y Geschrieben 21. Juni 2008 Geschrieben 21. Juni 2008 Dann brauchst nat, genauer gesagt dnat: $IPTABLES -t nat -A PREROUTING -i eth0 -p tcp --source 192.168.10.1 --sport 1024:65535 --dport 25 -j DNAT --to-destination 192.168.30.1 "Routet" alles was auf eth0 von der IP 192.168.10.1 mit Absender Port über 1024 und ziel port 25 ankommt auf die ip 192.168.30.1 Besser? Zitieren
schorsch1985 Geschrieben 24. Juni 2008 Autor Geschrieben 24. Juni 2008 Ich habe es mit Port 80 ausprobiert. Funktioniert nicht. Ich hab noch nichtmal das Interface vom DSL-Router anpingen. das wäre dann zwar ICMP aber über den Router hinweg komme ich so oder so nicht. Bitte um Hilfe. Viele Grüße schorsch Zitieren
schorsch1985 Geschrieben 24. Juni 2008 Autor Geschrieben 24. Juni 2008 Ich vermute das keine Rückantwort vom Router #1 kommt. Router #2 ist noch nicht angeschlossen und das Interface noch nicht eingerichtet. Firewall ist nirgendswo angeschlossen oder eingerichtet. Im moment sieht es nur so aus: Client-----RoutingPC-----DSL-Router Beim Client habe ich folgende Route eingetragen: route add -net 192.168.20.0 netmask 255.255.255.252 gw 192.168.10.1 dev eth0 Kommt vom DSL-Router keine Antwort zurück weil er die Route nicht findet? Zitieren
Crash2001 Geschrieben 24. Juni 2008 Geschrieben 24. Juni 2008 Wenn du eine Hinroute einrichtest, musst du auch eine Rückroute einrichten. Sonst können zwar Pakete in die eine Richtung fliessen, aber nicht in die andere Richtung. Also wenn du auf dem Client eine Route auf den Router einrichtest, musst du auf dem Router eine Rückroute auf den Client einrichten. Zitieren
schorsch1985 Geschrieben 24. Juni 2008 Autor Geschrieben 24. Juni 2008 Super. Danke dir für den Tipp. Hat geklappt. Welchen DNS muss ich bei den Clients angeben damit die Auflösung klappt? Zitieren
Crash2001 Geschrieben 24. Juni 2008 Geschrieben 24. Juni 2008 Hmmm... da könntest du den Linux-Router nehmen (falls da nen DNS drauf läuft), oder einen der beiden Router. Die Namensauflösung sollten alle 3 Geräte machen können. Der entsprechende Router sollte aber auf Port 53 UDP/TCP ansprechbar sein. Alternativ könntest du auch einen öffentlichen DNS-Server eintragen. Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.