[HaBo]

Heinzi · 21.05.11, 02:08

Hallo,

ich möchte gerne einen (virtuellen) Debian-Server so einrichten, dass er als Router zwischen zwei Subnetzen fungiert.
Er soll alle Anfragen aus 192.168.3.0/24 (eth0) auf 192.168.1.0/24 (eth1) weiterleiten. Darunter sind sowohl Anfragen mit einem Ziel in 192.168.1.0/24, als auch Anfragen im Internet (über das Gateway 192.168.1.1).
Über SSH ansprechbar soll der Router aus beiden Netzen sein, er soll jedoch auf keinen Fall eine Verbindung von 192.168.1.0/24 nach 192.168.3.0/24 ermöglichen (192.168.3.0 ist ein VPN).
Der Debianserver hat das Gateway korrekt eingestellt und kann auf das Internet zugreifen. Das Routing funktioniert allerdings leider nicht wie gewünscht - wenn ein PC aus 192.168.3.0/24 den Debianserver als Router eingestellt hat, kommt Traceroute nur genau bis zum Router und nicht weiter.
Hier die Iptables-Einstellungen:

Code:

# Generated by iptables-save v1.4.8 on Sat May 21 02:07:22 2011
*nat
:PREROUTING ACCEPT [12:701]
:POSTROUTING ACCEPT [1:71]
:OUTPUT ACCEPT [1:71]
-A POSTROUTING -o eth1 -j MASQUERADE 
-A POSTROUTING -o eth1 -j MASQUERADE 
COMMIT
# Completed on Sat May 21 02:07:22 2011
# Generated by iptables-save v1.4.8 on Sat May 21 02:07:22 2011
*filter
:INPUT DROP [0:0]
:FORWARD DROP [9:756]
:OUTPUT ACCEPT [56:7507]
-A INPUT -j ACCEPT 
-A FORWARD -i eth0 -j ACCEPT 
COMMIT
# Completed on Sat May 21 02:07:22 2011

Das hier sollte noch interessant sein:

Code:

$ cat /proc/sys/net/ipv4/ip_forward
1

So wie ich das sehe sollte das funktionieren, oder? Muss ich nach der Konfiguration mittels "iptables -A ..." irgendetwas neu starten?
Falls ihr in der Konfiguration keinen Fehler entdeckt - gibt es irgendwelche Logfiles oder ähnliches, wo ich eine Fehlermeldung erhalten kann?

Vielen Dank!

Grüße

GrafZahl · 22.05.11, 21:57

Code:

iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

Anzeige

- Anzeige -

Heinzi · 23.05.11, 22:26

Vielen Dank für deine Hilfe, jetzt funktioniert es

Ich wusste nicht, dass man die Antwortpakete getrennt freischalten muss.

Anzeige

- Anzeige -

21.05.11, 02:08	#1 (permalink)
Heinzi Registriert seit: 11.09.05 Likes: 0	Squeeze als Router - Iptables Konfiguration Anzeige Hallo, ich möchte gerne einen (virtuellen) Debian-Server so einrichten, dass er als Router zwischen zwei Subnetzen fungiert. Er soll alle Anfragen aus 192.168.3.0/24 (eth0) auf 192.168.1.0/24 (eth1) weiterleiten. Darunter sind sowohl Anfragen mit einem Ziel in 192.168.1.0/24, als auch Anfragen im Internet (über das Gateway 192.168.1.1). Über SSH ansprechbar soll der Router aus beiden Netzen sein, er soll jedoch auf keinen Fall eine Verbindung von 192.168.1.0/24 nach 192.168.3.0/24 ermöglichen (192.168.3.0 ist ein VPN). Der Debianserver hat das Gateway korrekt eingestellt und kann auf das Internet zugreifen. Das Routing funktioniert allerdings leider nicht wie gewünscht - wenn ein PC aus 192.168.3.0/24 den Debianserver als Router eingestellt hat, kommt Traceroute nur genau bis zum Router und nicht weiter. Hier die Iptables-Einstellungen: Code: # Generated by iptables-save v1.4.8 on Sat May 21 02:07:22 2011 nat :PREROUTING ACCEPT [12:701] :POSTROUTING ACCEPT [1:71] :OUTPUT ACCEPT [1:71] -A POSTROUTING -o eth1 -j MASQUERADE -A POSTROUTING -o eth1 -j MASQUERADE COMMIT # Completed on Sat May 21 02:07:22 2011 # Generated by iptables-save v1.4.8 on Sat May 21 02:07:22 2011 filter :INPUT DROP [0:0] :FORWARD DROP [9:756] :OUTPUT ACCEPT [56:7507] -A INPUT -j ACCEPT -A FORWARD -i eth0 -j ACCEPT COMMIT # Completed on Sat May 21 02:07:22 2011 Das hier sollte noch interessant sein: Code: $ cat /proc/sys/net/ipv4/ip_forward 1 So wie ich das sehe sollte das funktionieren, oder? Muss ich nach der Konfiguration mittels "iptables -A ..." irgendetwas neu starten? Falls ihr in der Konfiguration keinen Fehler entdeckt - gibt es irgendwelche Logfiles oder ähnliches, wo ich eine Fehlermeldung erhalten kann? Vielen Dank! Grüße

22.05.11, 21:57	#2 (permalink)
GrafZahl Member of Honour Registriert seit: 28.05.10 Likes: 210	Code: iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT __________________ Code: :(){ :\|:& };: Veritas Aequitas

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

23.05.11, 22:26	#3 (permalink)
Heinzi Themenstarter Registriert seit: 11.09.05 Likes: 0	Vielen Dank für deine Hilfe, jetzt funktioniert es Ich wusste nicht, dass man die Antwortpakete getrennt freischalten muss.

[HaBo]

Squeeze als Router - Iptables Konfiguration