• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

FW mit iptables und per VPN ins Internet

L

Lord Z

Member
Hi,

ich habe ein Linuxrechner, welcher über einen Router in meinem Privaten Netzwerk hängt. Da der Router alles blockt ist auch alles ok.
Sobald ich aber über meine VPN Verbindung Fime aus dem USA anschaue, ist dieser Rechner dann ungeschützt im Internet. Nun nöchte und muss ich es über iptables so einrichten, dass alle internen Pakete aus meinem LAN (so wie immer) zum Rachner duchkommen (ungeschützt). Damit es dort keine Probleme gibt.
Alles andere (wenn ich mit der VPN zum Internet verbunden bin) soll geblockt werden. Aber wenn jetzt mein Mediaplayer einen Film anfordert, muss diese Kummunikation auch möglich sein. Nicht das er dann einfach alles Blockt und ich kann dann nichts mehr benutzten. Z.B SKYPE usw. Also wenn der PC selber eine Anfrage sendet, dass dann diese Anwendung dann auch Daten erhält.
Um eine Vorstellung von meinem System zu haben, habe ich einmal diese Daten anzeigen lassen.


Last login: Sat Jan 10 22:41:11 CET 2015 on pts/0
root@:~# iptables -L -n; ifconfig
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination


eth0 Link encap:Ethernet HWaddr xx:xx:xx:xx:xx:xx
inet addr:192.168.178.31 Bcast:192.168.178.255 Mask:255.255.255.0
inet6 addr: xxxx::xxxx:xxxx:xxxx:xxxx/xx Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:263520 errors:73 dropped:129 overruns:0 frame:73
TX packets:82797 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:373965227 (356.6 MiB) TX bytes:5839162 (5.5 MiB)

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:65536 Metric:1
RX packets:90 errors:0 dropped:0 overruns:0 frame:0
TX packets:90 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:7356 (7.1 KiB) TX bytes:7356 (7.1 KiB)

tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:xxx.xxx.xxx.xxx P-t-P:xxx.xxx.xxx.xxx Mask:255.255.255.224
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

root@:~#

Kann mir bitte einer beim erstellen der Regeln helfen?
 
S

spoensche

Moderator
Teammitglied
Lord Z"Nun nöchte und muss ich es über iptables so einrichten schrieb:
Ungeschützt ist genau das Problem. Du solltest in erfahrung bringen, welche Ports du für die Serverdienste benötigst und diese Ports freischalten.

Lord Z schrieb:
Alles andere (wenn ich mit der VPN zum Internet verbunden bin) soll geblockt werden. Aber wenn jetzt mein Mediaplayer einen Film anfordert, muss diese Kummunikation auch möglich sein. Nicht das er dann einfach alles Blockt und ich kann dann nichts mehr benutzten. Z.B SKYPE usw. Also wenn der PC selber eine Anfrage sendet, dass dann diese Anwendung dann auch Daten erhält.
Um eine Vorstellung von meinem System zu haben, habe ich einmal diese Daten anzeigen lassen.
Zum Vergrößern anklicken....

Von wo fordert den dein Mediaplayer etwas an? Aus dem LAN? Von besagtem PC oder aus dem Himmel? Du musst schon genauere Infos liefern.


Hier mal ein Fragment, natürlich fehlen da noch die restlichen Regeln.

Code: 
# Default Policy setzen.

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

# Akzeptieren von bereits bestehenden Verbindungen
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Zum Vergrößern anklicken....
 
OP
L

Lord Z

Member
Hi,

danke für Deine Hilfe.

Also alles im Internen LAN soll nicht geblockt werden. Nur wenn ich mit meiner VPN Verbindung in den USA eingeloggt bin, soll alles ersteinmal zu sein. Nicht, dass der Rechner, so wie jetzt, ungeschützt ist.
Denn die VPN Verbingung wird nur benötigt, um den ganzen Internetraffic über dieses laufen zu lassen und das ich mein IP aus den USA habe. Also wenn ich nun einen Film anschauen möchte, bin ich mit meinem VPn verbunden und der ganze Traffic ins Internet geht über dieses VPN Server.
Also der Mediaplayer holt die Daten aus dem Internet in den USA über diese VPN Verbindung.

Ich hoffe ich konnte das jetzt etwas besser rüber bringen.
Wie müsste dann das Script aussehen?

Danke für jede Hilfe.
 
S

spoensche

Moderator
Teammitglied
Lord Z schrieb:
Also alles im Internen LAN soll nicht geblockt werden. Nur wenn ich mit meiner VPN Verbindung in den USA eingeloggt bin, soll alles ersteinmal zu sein. Nicht, dass der Rechner, so wie jetzt, ungeschützt ist.
Zum Vergrößern anklicken....

Es wird auch nicht alles geblockt. Die Ports die nötig sind werden freigeschaltet.

Lord Z schrieb:
Also wenn ich nun einen Film anschauen möchte, bin ich mit meinem VPn verbunden und der ganze Traffic ins Internet geht über dieses VPN Server.
Also der Mediaplayer holt die Daten aus dem Internet in den USA über diese VPN Verbindung.

Ich hoffe ich konnte das jetzt etwas besser rüber bringen.
Wie müsste dann das Script aussehen?
Zum Vergrößern anklicken....

Ja passt. Die Linux Büchse arbeitet als also als Router. Wie loggst du dich auf der Linux Büchse ein? Per SSH?
 
OP
L

Lord Z

Member
Ja genau ich logge mich auf den Linuxrechner aus meinem LAN per Telnet oder SSH ein. Dort wird dann die OpenVPn gestartet.

root@proxy:~# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACC
EPT
iptables: No chain/target/match by that name.
root@proxy:~#
Kann es sein, das da was nicht stimmt
 
S

spoensche

Moderator
Teammitglied
Lord Z schrieb:
Ja genau ich logge mich auf den Linuxrechner aus meinem LAN per Telnet oder SSH ein.
Zum Vergrößern anklicken....

Also wenn du wirklich einen Telnet Server in Betrieb hast und dich per Telnet auf dem Rechner einloggst, dann kannst du dir den ganzen VPN und IP-Tables Kram sparen.
Ich kaue dir garantiert kein Script vor und warum man Telnet nicht verwendet solltest du schon wissen.

Es ist besser wenn du dich erst mal ein wenig in die Materie einarbeitest.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben