Linux Router - Firewall (iptables) mit 3 Netzwerkkarten

#1 Hallo Leute,
Ich habe ein großes Problem und weiss nicht, ob mir jemand helfen kann:
Ein Linux Firewall Router mit 3 Netzwerkkarten:
eth0 --> Standard gateway (2 MBit Sync Standleitung)
eth1 --> öffentliches Subnetz 255.255.255.224 --> IP *.1
eth2 --> öffentliches Subnetz 255.255.255.224 --> IP *.4

eth1 und eth2 sind im gleichen Subnetz, An eth1 ist ein Switch angeschlossen, wo Linux Server angeschlossen sind. Dort funktioniert der Forward mit iptables auf die einzelnen Ports einwandfrei.
An eth2 ist über crossover Kabel ein Windows Server angeschlossen (mit der IP *.5), wo auch bestimmte Ports geforwardet werden müssen, aber zusätzlich eine Regel, die verbietet, dass alle anderen Rechner auf dem Netz mit eth1, auf diesen Server keinerlei zugriff haben.

Dies ist wohl ein routing Problem?, ich habe bereits alles an route add ......
ausprobiert. Es ist nich einmal möglich von Windows Server ein normalen ping an *.4 zusenden.

Weiss da jemand weiter?

Viele Grüße

Markus

#2

Zitat

eth1 --> öffentliches Subnetz 255.255.255.224 --> IP *.1
eth2 --> öffentliches Subnetz 255.255.255.224 --> IP *.4

Ach das geht doch so nicht selbst wenn du die Netzwerke physisch trennst.
Außerdem falsche Notation benutz mal bitte sowas wie 192.168.0.0/24 und benutze verschiedene Subnetze.

Edit:

Nur als kleiner Nachschlag sowas wäre eventuell (rein theoretisch) mit source routing zumachen leider kann Linux kein source routing deswegen fällt das schonmal flach für dich.
FBSD könnte es und NBSD vermutlich auch.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#3 Alles Klar,

vielen Dank.
Irgendwie habe ich mir dies gedacht, wollte es noch einmal bestätigt haben.
Ich war mir nich ganz sicher.


mfg


Markus

#4

Zitat

leider kann Linux kein source routing

Linux kann schon seit dem 2.2er Kernel Source Routing. Das geht wunderbar mit den "iproute2" Tools. Hier steht hübsch dokumentiert wie man das macht.

@samtech
Warum fährst du auf eth0 nicht die ganzen IP Adressen als Aliase, erstellst für die beiden Netze hinter eth1 und eth2 private Subnetze und richtest eine Portweiterleitung ein?

Dann würde das ungefähr so aussehen (ganz einfach gehalten):

eth0: Firewall IP (deine öffentlichen Netze)
eth0:0 *.1
eth0:1 *.4
eth1: IP: 192.168.1.254 Netz: 192.168.1.0/24
eth2: IP: 192.168.2.254 Netz: 192.168.2.0/24

Iptables Regel:
iptables -t nat -A PREROUTING -i eth0 -s 0/0 -d "*.1" -j DNAT --to 192.168.1.1
iptables -t nat -A PREROUTING -i eth0 -s 0/0 -d "*.2" -j DNAT --to 192.168.2.4
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.2.0/24 -j MASQUERADE

Am Routing müsstest du direkt nix mehr schrauben, da Linux die Routen zu den direkt angeschlossenen Netzen logischerweise kennt. Ansonsten kannst du natürlich noch deine iptables Regeln optimieren und nur bestimmt Ports forwarden, anderes Zeugs blocken, etc. Zu iptables gibbet allerdings schon genug Forebeiträge und wunderbare Dokumentationen im Netz.

Viele Grüße, Donni

#5

Zitat

Linux kann schon seit dem 2.2er Kernel Source Routing. Das geht wunderbar mit den "iproute2" Tools. Hier steht hübsch dokumentiert wie man das macht.

Hmm tatsächlich?
Vielleicht liege ich ja falsch.
Möglich das dies dann nur IPv6 betrifft aber nach meiner Meinung betrifft es auch IPv4 wenn man von unterschiedlichen Interfaces aus geht.
Also source interface routing wird unterstüzt?
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode