• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

verständis problem iptables

alge

Newbie
Hallo leute!!

ich habe mir einen Software router gebastelt.
damit der router endlich routet musste ich folgenden
befehl eingeben:

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

wenn ich das richtig verstehe, leitet er nun alle anfragen weiter und führt nat durch, an der -eth0 ?

wenn das der fall ist, könnte ich den befehl wie folgt erweitern?

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE -s 192.168.6.1

dann würde er alle anfragen weiterleiten und nat ausführen aber nur, wenn es von dieser Quellip kommt?

gut, wenn das nun richtig ist könnte ich folgendes script schreiben

#! /bin/sh

ip="192.168.68.5"
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE -s $ip

..... das script würde dann nur mit einer ip gehen, ich könnte es dann doch so erweitern?

#! /bin/sh

ip="192.168.68.5 10.25.25.25"
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE -s $ip

....

falls das alles richtig ist, warum funktioniert das nicht mit mac adressen...

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE -s -m mac --mac-soure 00:0C.......

was ist daran falsch? oder geht das gar nicht so???

.... ich möchte nämlich, das der router nur bestimmte MAC adressen routet... :?: :?:
 
OP
A

alge

Newbie
würde mein problem mit diesem problem gelöst werden

#! /bin/sh

mac="00:0C..."

$IPTABLES -A INPUT -m mac --mac-source $mac -j ACCEPT

ich brauch doch nur ein bissl hilfe...
 

Martin Breidenbach

Ultimate Guru
Geroutet wird über die FORWARD chain. Die INPUT chain behandelt Pakete die an den Rechner selbst gesendet werden.

Was Du machen kannst ist:

Default-Policy auf DENY setzen

Für die MAC-Adressen die durchgelassen werden sollen eine ACCEPT-Regel für die FORWARD-Chain erstellen

Eine Regel erstellen die ESTABLISHED und RELATED durchläßt damit Antwortpakete und zugehörige ICMPs durchkommen.
 
OP
A

alge

Newbie
es müsste doch auch so gehen oder?

#! /bin/sh

mac="00:55:45:65:58:25 05:05:63:69:25:00"

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

iptables -t nat - A POSTROUTING -o eth0 -j MASQUERADE

iptables - A INPUT - m --mac-source $mac -j ACCEPT
iptables - A OUTPUT - m --mac-source $mac -j ACCEPT
iptables - A FORWARD - m --mac-source $mac -j ACCEPT

#ende

für was sollen die noch mal sein
ESTABLISHED und RELATED ?

kommt nach meiner regel oben nicht alles durch? wenn die MAC adresse stimmt?

wäre das script so okay? oder muss noch was ergänzt werden?
 
Oben