Zum Inhalt springen

Empfohlene Beiträge

Geschrieben

Hallo Foren-Benutzer,

ich habe folgendes Anliegen.

Es sind 2 Internetleitungen mit jeweils einem DSL-Router vorhanden. Beide Leitungen haben feste IP-Adressen und sollen in Betrieb genommen werden. Ich bin der Meinung, dass dies mit Iptables realisierbar ist.

Im Anhang seht ihr den Netzplan, welchen ich umsetzen möchte.

Bisher funktioniert alles, nur der „Routing PC“ muss eingerichtet werden.

1. Regel: von 192.168.20.1 nach 192.168.10.1 soll alles durchgelassen werden (ALLOW ANY ANY)

2. Regel: von 192.168.30.1 nach 192.168.10.1 soll alles durchgelassen werden (ALLOW ANY ANY)

3. Regel: alle SMTP und POP3 Daten aus dem "Internen Netzwerk" sollen von 192.168.10.1 nach 192.168.30.1 geroutet werden (Leitung Provider #2)

4. Regel: alle anderen Daten aus dem "Internen Netzwerk" sollen von 192.168.10.1 nach 192.168.20.1 geroutet werden (Leitung Provider #1)

Ist dies mit Hilfe von Iptables machbar? Wenn ja, wie? :)

Ich bin für alle Ratschläge, Hinweise und Anregungen dankbar.

Vielen Dank

Mit freundlichen Grüßen

schorsch :)

post-51855-14430447978617_thumb.jpg

Geschrieben

Hi,

hm , ich weiss nicht genau was du nun willst? Die Regeln hast du doch schon alle definiert, du musst sie nur noch in entsprechend in einem Script in die IPTABLES sytntax umbauen...

Wenn du nur wissen willst ob das geht: ja das geht :)

Danach musst halt noch das routing erlauben, default policy deiner chains auf DROP setzten und gut is.

Grüßle

Geschrieben

Also für das Routing brauchst du jedenfalls kein iptables, sondern musst einfach nur eine statische Route einrichten. Von dem "Mail-Router" können ja laut deiner Definition eigentlich nur "Antworten auf deine POP3- und SMTP-Pakete" oder ungewollte Anfragen von aussen kommen. Das Anfragen von außen könntest du abblocken, indem du einfach keine Weiterleitung auf dem Router einrichtest bzw keinen Port manuell öffnest. Die Antwortpakete auf deine Anfragen werden hingegen automatisch an den richtigen Absender adressiert.

Du müsstest bei den Regeln für den ausgehenden Verkehr die Weiterleitung der Pakete an den entsprechenden Port der Servers erlauben und der jeweiligen Leitung zuordnen. Das sollte eigentlich gehen.

Standardports:

  • POP3: Port 110 TCP/UDP
  • POP3 SSL: Port 995 TCP/UDP
  • SMTP: Port 25 TCP/UDP
  • SMTP SSL: Port 465 oder 587 TCP/UDP

Es können natürlich auch andere Ports genutzt werden - das ist Einstellungssache auf dem jeweiligen Server. Standardmässig werden aber die oben genannten Ports verwendet.

Wie das allerdings genau mit iptables umgesetzt wird, weiss ich nicht, da ich mich damit nicht auskenne. :rolleyes:

Geschrieben

Ich glaube du stellst dir das einfacher vor, als das es wirklich ist. Wenn das eine grundlegende Arbeit ist, dann gib mir bitte mal ein Beispiel zu einer der Regeln oben. Ich hab nicht gefunden das man bei "route" einen port angeben kann und genau darum geht es ja... deshalb dachte ich es mit iptables umzusetzen.

Beispiel bitte.

Vielen Dank

Grüße schorsch :)

Geschrieben

Dann brauchst nat, genauer gesagt dnat:

$IPTABLES -t nat -A PREROUTING -i eth0 -p tcp --source 192.168.10.1 --sport 1024:65535 --dport 25 -j DNAT --to-destination 192.168.30.1

"Routet" alles was auf eth0 von der IP 192.168.10.1 mit Absender Port über 1024 und ziel port 25 ankommt auf die ip 192.168.30.1

Besser? :P

Geschrieben

Ich habe es mit Port 80 ausprobiert. Funktioniert nicht. Ich hab noch nichtmal das Interface vom DSL-Router anpingen. das wäre dann zwar ICMP aber über den Router hinweg komme ich so oder so nicht. Bitte um Hilfe.

Viele Grüße

schorsch :)

Geschrieben

Ich vermute das keine Rückantwort vom Router #1 kommt. Router #2 ist noch nicht angeschlossen und das Interface noch nicht eingerichtet. Firewall ist nirgendswo angeschlossen oder eingerichtet.

Im moment sieht es nur so aus:

Client-----RoutingPC-----DSL-Router

Beim Client habe ich folgende Route eingetragen:

route add -net 192.168.20.0 netmask 255.255.255.252 gw 192.168.10.1 dev eth0

Kommt vom DSL-Router keine Antwort zurück weil er die Route nicht findet?

Geschrieben

Wenn du eine Hinroute einrichtest, musst du auch eine Rückroute einrichten. Sonst können zwar Pakete in die eine Richtung fliessen, aber nicht in die andere Richtung.

Also wenn du auf dem Client eine Route auf den Router einrichtest, musst du auf dem Router eine Rückroute auf den Client einrichten.

Geschrieben

Hmmm... da könntest du den Linux-Router nehmen (falls da nen DNS drauf läuft), oder einen der beiden Router. Die Namensauflösung sollten alle 3 Geräte machen können. Der entsprechende Router sollte aber auf Port 53 UDP/TCP ansprechbar sein.

Alternativ könntest du auch einen öffentlichen DNS-Server eintragen.

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...