Firewall mit iptables konfigurieren

Servus,

ich sitze schon seit ein paar Tagen an einem hartnäckigen Problem:

Ich habe folgendes Netzwerk aufgebaut:

Ich habe einen Router (Cisco 1700) der mit dem einen Port am Internet hängt und mit dem anderen in deinen HP-Switch läuft. Mit diesem Switch sind 2 andere Rechner verbunden. Soweit läuft auch alles und ich kann in meinem 2-Rechner-Netz pingen sowie ins Internet.

Jetzt möchte ich aber einen kleinen Firewall rechner zwischen Router und Switch hängen und diesen mit Iptables konfigurieren. Der Rechner hat zwei Netzwerkkarten die auch beide eine IP zugewiesen bekommen haben. Das Problem ist nur, wenn ich den Rechner dazwischen klemme kann ich nur noch im 2-Rechner-Netz pingen und komme nicht mehr über den Router ins Internet. Muss ich dem Rechner noch irgendwie sagen dass er über die eine Netzwerkkarte "rein" und durch die andere "raus" soll oder macht der das von alleine?

Das zweite Problem ist, dass ich mich mit Iptables überhaupt nicht auskenne. Ich hab mich zwar durch viele Howtos durchgearbeitet aber ich verstehe trotzdem kein Wort davon. Ich weiß einfach nicht wo ich was hineinschreiben muss.

Alle Rechner im Netz laufen unter Debian.

Wer weiß Rat?

Verzweifelten Gruß
Tom

Irgendwie erscheint das alles wie mit Kanonen auf Spatzen zu schießen. Für ein 2 Rechnernetz reicht ein Rechner als Router aus, warum ein Cisco-Router + eine Firewall erscheint mir seltsam. Nichtsdestotrotz ist das machbar. Zunächst muss man sich über die logische Struktur des Netzes klar werden. Ein Paketfilter kann zwar auch in einem Bridgemodus betrieben werden, aber das erschwert die Konfiguration und ist auch nicht unbedingt notwendig. Wichtig ist zu wissen wie der Ciscorouter konfiguriert ist, und welche IP-Adressen er ins Internet weiterleitet, alle privaten Adressen oder nur bestimmte Adressbereiche. Davon hängt es ab wie die Firewall eingesetzt werden kann. Entscheidend ist, dass durch die Firewall dein Netz aufgeteilt wird, in eine äussere Zone (quasi wie eine DMZ ) zu der die interne Schnittstelle des Router und die externe Schnittstelle der Firewall gehören und dein internes LAN zu der die interne Schnittstelle der Firewall und deine beiden Rechner gehören. Beide Bereiche benötigen eine eigene Netzwerkadresse. Sollte der Router nur einen bestimmten Adressbereich routen ist eine Aufteilung dieses Adressbereich mittels Subnetting notwendig.
Beispiel:

Internet-IP-vom-ISP-Cisco-Router-10.0.0.1/8----10.0.0.2/8-Firewall-192.168.100.1/24---HPSwitch--LAN (192.168.100.x/24)

Internet-IP-vom-ISP-Cicco-Router-192.168.100.1/25-----192.168.100.2/25-Firewall-192.168.100.129/25--HP-Switch--LAN(IP >192.168.100.129)

Den HP-Switch habe ich eingezeichnet, er sollte aber mit der Logik nichts zu tun haben und dient nur dazu das Netz an die Firewall anzubinden. Aus Sicht der Firewall spielt es in der Regel keine Rolle wie die interne Netz verbunden ist, wichtig ist allein dass es nur über die Firewall an den Router gelangt.

Die Masqueradingfunktion von ipatbeles wird oft als Routingersatz benutzt, weil viele Anwender die Funktionen verwechseln. Eine Firewall zwischen privaten Netzen betreibt aber kein Masquerading. Das ließe sich zwar durch S-NAT Regeln simulieren ist aber viel zu aufwendig.

Bevor du iptables einsetzt sollte also das Routing funktionieren. Auf den Clients muss als Standardgateway die Firewall eingetragen werden und auf der Firewall muss das Routing entsprechend gesetzt werden. Das hängt davon ab welche IP-Nummern du verwendest und wie groß der Netzwerkanteil ist.

Können die Clients ohne Firewall ins Internet (ping-Befehl) können die iptables Regeln aufgesetzt werden.

mfG
gaw

Danke für die schnelle Antwort! Den Aufbau kann ich mir leider nicht aussuchen weil das ein ausbildungsinterenes Projekt ist :/ Im Moment geht aber garnix mehr. Ich melde mich bald mit neuen Infos..

Danke vorerst