iptables + WRT54GL + tomato-Firmware

#1 Hallo,

seit ein paar Tagen nutze ich nun den Linksys WRT54GL mit tomato-Firmware. Der Grund warum ich von meinem alten Router weg bin ist folgender:

Ich habe eine 16000er Leitung von der Telecom und gebe diese über unser Hausinternes LAN für 6 weitere (meine Mitbewohner, WG halt) Leute frei. Damit diese keine P2P-Programme nutzen wollte ich das ganze mit iptables beschränken. Nur ist der Unterricht über iptables schon ein bisschen her, ich komme damit nicht mehr ganz zurecht. Zuallererst mache ich alles dicht und lösche vorhandene Regeln

Zitat

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

iptables -F
iptables -t nat -F
iptables -X

Nur jetzt komme ich nicht weiter. Was muss ich einstellen damit alle User meines Netzes 192.168.0.0/24 den Port 80 nutzen können? Und was genau muss ich angeben damit ich mich nicht selbst aus dem Routermenü rauskegele? Ich will den Router ja weiterhin konfigurieren können. Ich habe mir schon diverse Tutorials (z.B. das auf pro-linux.de) durchgelesen und bin trotzdem kein bisschen weitergekommen. Das größte Problem für mich besteht darin, das der Router ja nur weiterleiten soll, ich weiß auch nicht wie die vorhandenen Interfaces heißen.

Wäre nett wenn sich meiner einer annehmen würde und mir ein bisschen unter die Arme greift.

Danke

#2

Zitat

iptables -P OUTPUT DROP

Die Regel ist fürn Arsch, da kann dein Router ja selber nirgendwo mehr hin.

Zitat

Was muss ich einstellen damit alle User meines Netzes 192.168.0.0/24 den Port 80 nutzen können?

Was soll das heißen? Das alle im LAN auf Webseiten gehen können meinst du?
Willst du dann nur ein Proxy ala Squid oder willst du echtes NAT?

Zitat

iptables -P FORWARD DROP

Okay jetzt müßten aber halt die forwarding regeln kommen falls obiges zutrifft und noch ne MASQ Regel.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#3 Hallo,

erstmal danke für die schnelle Antwort.

Du meinst also "iptables -P OUTPUT DROP" ist überflüssig? Ok, dann kommt das nicht rein.

Genau, alle aus meinem LAN sollen Webseiten besuchen können. Ich würde dann noch weitere Ports (für z.B. Email, FTP, SSH, CounterStrike, WoW, etc. pp.) freigeben. Dafür müsste ich ja nur die Ports ändern, der Rest kann ja gleich bleiben.

NAT würde mir besser gefallen als eine reine Proxy-Lösung. Aber das scheint noch komplizierter zu sein?!

Und genau mit den forwarding- und masquerade-Regeln komme ich nicht zu recht, dabei bräuchte ich eure Hilfe!

#4 Auszug aus den FAQ eines filesharing-Programmes.
Den Namen habe ich mal entfernt.

Zitat

Ich sitze hinter einem (NAT) - Router / einer Firewall. Welche Ports muß ich freigeben / mappen?
XXX funktioniert auch hinter einem NAT - Router, wenn man keine Ports mapped. Allerdings gibt es dann Einschränkungen beim Download (kein Download von Leuten, die ebenfalls hinter einem Router sitzen) und die Suchfunktion liefert weniger Ergebnisse. Außerdem wird das Servernetz zusätzlich belastet, wenn der Core-Port von außen nicht erreichbar ist.

XXX benutzt keine festen Ports, der Port ist frei wählbar und wird bei der Installation bzw. beim ersten Start zufällig gewählt. Das verhindert, dass ISPs gezielt XXX ausbremsen.

Der Client benutzt nur einen Port. Dieser kann unter Extras->Optionen->Port eingestellt werden. Dieser muss dann auch beim Router gemapped werden bzw. bei der Firewall freigegeben werden, dazu solltest du einen Blick in das Handbuch des Routers werfen (Port Forwarding oder Virtual Server). Das Protokoll TCP reicht, da UDP nicht verwendet wird.

Nun bin ich verwirrt...

TS

#5

Zitat

Ich würde dann noch weitere Ports (für z.B. Email, FTP, SSH, CounterStrike, WoW, etc. pp.) freigeben. Dafür müsste ich ja nur die Ports ändern, der Rest kann ja gleich bleiben.

Ahja also NAT.
Da gibt es nichts freizugeben, du solltest solche relativen Wörter lieber nicht benutzen.
Ports werden allerhöchstens vom Router bis zum PC dahinter weitergeleitet.

Das kannst du mit Forward und DNAT machen.
Lese dir doch mal die manpage durch.

Zitat

NAT würde mir besser gefallen als eine reine Proxy-Lösung. Aber das scheint noch komplizierter zu sein?!

Ne eigentlich weniger kompliziert.

Zitat

Und genau mit den forwarding- und masquerade-Regeln komme ich nicht zu recht, dabei bräuchte ich eure Hilfe!

Dazu hatte ich mal was geschrieben, hier:
http://www.different-thinking.de/linux-nat-iptables.php
Es ist zwar schon etwas älter aber bis heute hat sich nichts an den iptables geändert bis auf die Kernel Implementation aber die ist für dich ja Transparent.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#6 Hallo,

ich meinte freigeben im Sinne von "der Port kann genutzt werden". Danke für deinen Link, ich werde versuchen mich da einzuarbeiten.

/edit

So, da bin ich wieder. Leider bin ich noch kein bisschen schlauer geworden.

Mein Internet-Interface heißt ppp0, meine LAN-Schnittstelle eth1. Wie muss die Regel aussehen damit mein komplettes LAN (192.168.0.0/24) Port 80 nutzen kann?

Stimmt diese Regel?

iptables -A FORWARD -i ppp0 -p tcp --dport 80 -j DNAT

Wenn nicht habe ich es immer noch nicht verstanden.