Dual-Internet mit IPtables

[schorsch1985]

Hallo Foren-Benutzer,

ich habe folgendes Anliegen.

Es sind 2 Internetleitungen mit jeweils einem DSL-Router vorhanden. Beide Leitungen haben feste IP-Adressen und sollen in Betrieb genommen werden. Ich bin der Meinung, dass dies mit Iptables realisierbar ist.

Im Anhang seht ihr den Netzplan, welchen ich umsetzen möchte.

Bisher funktioniert alles, nur der „Routing PC“ muss eingerichtet werden.

1. Regel: von 192.168.20.1 nach 192.168.10.1 soll alles durchgelassen werden (ALLOW ANY ANY)

2. Regel: von 192.168.30.1 nach 192.168.10.1 soll alles durchgelassen werden (ALLOW ANY ANY)

3. Regel: alle SMTP und POP3 Daten aus dem "Internen Netzwerk" sollen von 192.168.10.1 nach 192.168.30.1 geroutet werden (Leitung Provider #2)

4. Regel: alle anderen Daten aus dem "Internen Netzwerk" sollen von 192.168.10.1 nach 192.168.20.1 geroutet werden (Leitung Provider #1)

Ist dies mit Hilfe von Iptables machbar? Wenn ja, wie?

Ich bin für alle Ratschläge, Hinweise und Anregungen dankbar.

Vielen Dank

Mit freundlichen Grüßen

schorsch

[t3quill4b0y]

Hi,

hm , ich weiss nicht genau was du nun willst? Die Regeln hast du doch schon alle definiert, du musst sie nur noch in entsprechend in einem Script in die IPTABLES sytntax umbauen...

Wenn du nur wissen willst ob das geht: ja das geht

Danach musst halt noch das routing erlauben, default policy deiner chains auf DROP setzten und gut is.

Grüßle

[Crash2001]

Also für das Routing brauchst du jedenfalls kein iptables, sondern musst einfach nur eine statische Route einrichten. Von dem "Mail-Router" können ja laut deiner Definition eigentlich nur "Antworten auf deine POP3- und SMTP-Pakete" oder ungewollte Anfragen von aussen kommen. Das Anfragen von außen könntest du abblocken, indem du einfach keine Weiterleitung auf dem Router einrichtest bzw keinen Port manuell öffnest. Die Antwortpakete auf deine Anfragen werden hingegen automatisch an den richtigen Absender adressiert.

Du müsstest bei den Regeln für den ausgehenden Verkehr die Weiterleitung der Pakete an den entsprechenden Port der Servers erlauben und der jeweiligen Leitung zuordnen. Das sollte eigentlich gehen.

Standardports:

• POP3: Port 110 TCP/UDP
  
• POP3 SSL: Port 995 TCP/UDP
  
• SMTP: Port 25 TCP/UDP
  
• SMTP SSL: Port 465 oder 587 TCP/UDP

Es können natürlich auch andere Ports genutzt werden - das ist Einstellungssache auf dem jeweiligen Server. Standardmässig werden aber die oben genannten Ports verwendet.

Wie das allerdings genau mit iptables umgesetzt wird, weiss ich nicht, da ich mich damit nicht auskenne.

[schorsch1985]

Wie richte ich die Routen ein? Das müsste ja auf dem "Routing-PC" umzusetzen sein... an den DSL-Routern muss ich ja net extra rumspielen.

Danke für eure Antworten...

Gruß schorsch

[t3quill4b0y]

Routen einzurichten ist eine grundlegende Arbeit, sollte man wissen. Gugst du "man route" oder "man ip"

[schorsch1985]

Ich glaube du stellst dir das einfacher vor, als das es wirklich ist. Wenn das eine grundlegende Arbeit ist, dann gib mir bitte mal ein Beispiel zu einer der Regeln oben. Ich hab nicht gefunden das man bei "route" einen port angeben kann und genau darum geht es ja... deshalb dachte ich es mit iptables umzusetzen.

Beispiel bitte.

Vielen Dank

Grüße schorsch

[t3quill4b0y]

Dann brauchst nat, genauer gesagt dnat:

$IPTABLES -t nat -A PREROUTING -i eth0 -p tcp --source 192.168.10.1 --sport 1024:65535 --dport 25 -j DNAT --to-destination 192.168.30.1

"Routet" alles was auf eth0 von der IP 192.168.10.1 mit Absender Port über 1024 und ziel port 25 ankommt auf die ip 192.168.30.1

Besser?

[schorsch1985]

Ich habe es mit Port 80 ausprobiert. Funktioniert nicht. Ich hab noch nichtmal das Interface vom DSL-Router anpingen. das wäre dann zwar ICMP aber über den Router hinweg komme ich so oder so nicht. Bitte um Hilfe.

Viele Grüße

schorsch

[schorsch1985]

Ich vermute das keine Rückantwort vom Router #1 kommt. Router #2 ist noch nicht angeschlossen und das Interface noch nicht eingerichtet. Firewall ist nirgendswo angeschlossen oder eingerichtet.

Im moment sieht es nur so aus:

Client-----RoutingPC-----DSL-Router

Beim Client habe ich folgende Route eingetragen:

route add -net 192.168.20.0 netmask 255.255.255.252 gw 192.168.10.1 dev eth0

Kommt vom DSL-Router keine Antwort zurück weil er die Route nicht findet?

[Crash2001]

Wenn du eine Hinroute einrichtest, musst du auch eine Rückroute einrichten. Sonst können zwar Pakete in die eine Richtung fliessen, aber nicht in die andere Richtung.

Also wenn du auf dem Client eine Route auf den Router einrichtest, musst du auf dem Router eine Rückroute auf den Client einrichten.

[schorsch1985]

Super. Danke dir für den Tipp. Hat geklappt. Welchen DNS muss ich bei den Clients angeben damit die Auflösung klappt?

[Crash2001]

Hmmm... da könntest du den Linux-Router nehmen (falls da nen DNS drauf läuft), oder einen der beiden Router. Die Namensauflösung sollten alle 3 Geräte machen können. Der entsprechende Router sollte aber auf Port 53 UDP/TCP ansprechbar sein.

Alternativ könntest du auch einen öffentlichen DNS-Server eintragen.