• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

[Gelöst] iptables: Wie FORWARDing an virtuelles interface?

F

Fats

Member
Hallo Linuxer!

Ich möchte mit iptables Daten über das externe Interface an ein internes Interface und umgekehrt weiterleiten. Wenn ich das recht verstehe, dann ist es im Prinzip für den Anfang ja gar nicht so schwer:

Code: 
#Aus dem LAN raus
iptables -A FORWARD -i $INT_INTERFACE -o $EXT_INTERFACE -j ACCEPT

# In das LAN hinein
iptables -A FORWARD -i $EXT_INTERFACE -o $INT_INTERFACE  -j ACCEPT

(...ok, da wird noch nix gefiltert ... aber so erstmal zum Testen ...)

Meine Frage: das interne Interface ist nun eine virtuelle Netzwerkkarte eth0:1. Das kann ich aber so in dem Firewallscript nicht ansprechen. Dann bekomm ich "Mägger" beim Ausführen:
Code: 
Warning: wierd character in interface `eth0:1' (No aliases, :, ! or *).

Wie mach ich das? Sprech ich das interne Netz nur über eth0 an und das System weiß dann schon ... ? Oder wie geht das??

Viele Grüße
Fats
 
Martin Breidenbach

Martin Breidenbach

Ultimate Guru
Du verwendest einfach die 'physikalische zugehörige' Schnittstelle (also eth0 statt eth0:1). Eventuell ändere die Regeln so ab daß die Absender/Empfängeradresse je nach 'Richtung' die IP von eth0:1 ist.
 
OP
F

Fats

Member
Wenn ich das recht verstehe, dann entscheidet doch das Routing-Modul im Rechner, ob ein Paket in der INPUT- oder in der FORWARD-Box (Chain) der Firewall landet, oder?

Dann müsste ich doch mit der Zeile
Code: 
iptables -A FORWARD -i $EXT_INTERFACE -o $VM_INTERFACE -j LOG
eigentlich Logeinträge produzieren, wenn ich auf eine IP im Subnetz hinter der Firewall zugreifen möchte. Ist das richtig? Bei mir tut sich nämlich nix ...

Bei der SUSE-FW2 hab ich im ConfigFile immer FW_ROUTE="yes" angeben müssen, damit überhaupt Daten gerouted wurden. Muß ich bei Verwendung der "reinen" iptables auch noch irgendwo irgendwas anderes aktivieren, damit das läuft?

Fragenden Gruß in die Runde
Fats
 
OP
F

Fats

Member
Aaah coool! 8) Das LogFile loggt endlich die ganzen Forwards!! Hurra! Danke! Jetzt muß ich "nur" noch die ganzen Regeln basteln! :)

Ähm ... aber ich dachte, daß genau das eigentlich im Yast mit dem Haken "IP-Weiterleitung aktivieren" erledigt wird - der ist nämlich gesetzt.
Aber scheinbar reicht das nicht!? Brauch ich diesen Haken trotzdem? Oder wofür ist der da?

Viel Gruß
Fats
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben