!
int virtual template
ip address x.x.x.x x.x.x.x
ip access-group 100 in
!
!
ip access-list 100 permit ip any host 192.168.1.130
ip access-list 100 permit ip host 192.168.1.130 any
!
!
Ich kenne mich leider mit IPTABLES nicht aus. Ist ein Guru hier, der mir das übersetzen kann?
Joined: 16 Jun 2006 Posts: 2427 Location: Berlin, Germany
Posted: Tue Jul 21, 2009 18:19 Post subject:
Ok da bei dd-wrt der erforderliche match fehlt um eine ip-range in iptables anzugeben können wir nur das komplette 10.0.0.0/24 (ich nehme mal an das es sich dabei um ein classe c netz handelt wenn nicht bitte anpassen) sperren.
Quote:
Ist es von Bedeutung, daß der terminierende Router (PPTP) nicht am Inet hängt, sondern hinter einer Fritz Box?
Die entsprechenden Ports leite ich von der FB an die WAN Adresse (192.168.0.100) des DD-WRT Routers weiter
ne das ist gut so das bedeutet also das alles was aus 10.0.0.0/24 kommt und nach 192.168.1.130/24 will durch die Firewall des DD-WRT Routers muss.??
Quote:
IP any any soll erlaubt sein, zwischen der Range und der destination.
das hab ich jetzt nicht verstanden kannst du das nochmal genauer beschreiben was erlaubt sein soll.
für den Anfang
Code:
#erlaube vpn-clients zugriff auf 192.168.1.130/24
iptables -I FORWARD 1 –s 10.0.0.0/24 –d 192.168.1.130/24 –j ACCEPT
#verbiete vpn-clients zugriff auf 192.168.1.0/24
iptables -I FORWARD 2 –s 10.0.0.0/24 –d 192.168.1.0/24 –j DROP
Ich hatte vorher schon mal einen Ansatz gestartet um in das Thema rein zu kommen, bin aber jedesmal an der schlechten/drögen Dokumentation gescheitert.
Der Ansatz mit dem Filtern ist nicht ganz so einfach - Das Problem ist, daß ich meine Filterregeln nicht wirklich testen kann, da ich mich ja in meinem lokalen Netz befinde. Ich kann zwar einen VPN Tunnel aufbauen, allerdings wird lokaler Traffic nicht in den Tunnel geschoben.
Aber erstmal vielen Dank pepe für den Anstoss! Ich muß nun erstmal schauen wie ich mir eine geeignete Testumgebung bauen kann.
Joined: 16 Jun 2006 Posts: 2427 Location: Berlin, Germany
Posted: Wed Jul 22, 2009 14:08 Post subject:
sorry
das sollte natürlich
Code:
-I
heißen.
habe das mal oben korrigiert
die regeln unter Administration -> comannds eintragen und mit Save Firewall abspeichern sonnst sind sie nach einem neustart weg.
und löschen kannst sie da auch wieder.
Löschen per Konsole geht mit dem schalter -D
z.B.