IPTABLES für VPN-Clients

Post new topic   Reply to topic    DD-WRT Forum Forum Index -> Allgemeine Fragen
Author Message
ibanez
DD-WRT Novice


Joined: 12 Feb 2009
Posts: 22

PostPosted: Mon Jul 20, 2009 7:49    Post subject: IPTABLES für VPN-Clients Reply with quote
Hallo,
kann mir bitte jemand helfen?
Ich habe den PPTP-Server eingerichtet damit sich Clients aus dem Internet in mein Netz einwählen können.

Klappt ja auch alles wunderbar, allerdings dürfen diese Clients auf alle Ressourcen zugreifen. Dieses möchte ich verhindern!

Ich möchte, daß die Berechtigung der Clients auf eine Ziel IP-Adresse, in meinem lokalen Netz, beschränkt wird.
Sponsor
ibanez
DD-WRT Novice


Joined: 12 Feb 2009
Posts: 22

PostPosted: Mon Jul 20, 2009 17:00    Post subject: Reply with quote
Für IOS würde es ungefähr so aussehen:

!
int virtual template
ip address x.x.x.x x.x.x.x
ip access-group 100 in
!
!
ip access-list 100 permit ip any host 192.168.1.130
ip access-list 100 permit ip host 192.168.1.130 any
!
!

Ich kenne mich leider mit IPTABLES nicht aus. Ist ein Guru hier, der mir das übersetzen kann?
pepe
DD-WRT Guru


Joined: 16 Jun 2006
Posts: 2427
Location: Berlin, Germany

PostPosted: Mon Jul 20, 2009 18:10    Post subject: Reply with quote
Wird so nicht so einfach gehen denke ich weil sich auf der Bridge nicht so filtern lässt!

Wenn du mir mehr Infos gibst dann kann ich dir Regeln erstellen!

Was brauche ich!
Ip Range der vpn Clients!
Ip auf die sie zugreifen dürfen!

Wenn das so dann nicht klappt müssen wir die vpn Clients und dein Netz in verschiedenen vlans packen dann können wir definitiv filtern.

_________________
http://www.dd-wrt.com/phpBB2/search.php?
http://www.dd-wrt.com/wiki/index.php/Main_Page
http://www.dd-wrt.com/wiki/index.php/Category:Deutsche_Dokumentation

http://i-use.ipfire.org/profile/454051a193d29c9019ea3d0ce3c4b801435fd682/0.png
ibanez
DD-WRT Novice


Joined: 12 Feb 2009
Posts: 22

PostPosted: Mon Jul 20, 2009 19:52    Post subject: Reply with quote
Hallo pepe!

Die Range der VPN-Clients ist 10.0.0.240-245
Die Ziel Adresse ist 192.168.1.130

IP any any soll erlaubt sein, zwischen der Range und der destination.

Ist es von Bedeutung, daß der terminierende Router (PPTP) nicht am Inet hängt, sondern hinter einer Fritz Box?

Die entsprechenden Ports leite ich von der FB an die WAN Adresse (192.168.0.100) des DD-WRT Routers weiter.
pepe
DD-WRT Guru


Joined: 16 Jun 2006
Posts: 2427
Location: Berlin, Germany

PostPosted: Tue Jul 21, 2009 18:19    Post subject: Reply with quote
Ok da bei dd-wrt der erforderliche match fehlt um eine ip-range in iptables anzugeben können wir nur das komplette 10.0.0.0/24 (ich nehme mal an das es sich dabei um ein classe c netz handelt wenn nicht bitte anpassen) sperren.

Quote:
Ist es von Bedeutung, daß der terminierende Router (PPTP) nicht am Inet hängt, sondern hinter einer Fritz Box?
Die entsprechenden Ports leite ich von der FB an die WAN Adresse (192.168.0.100) des DD-WRT Routers weiter


ne das ist gut so das bedeutet also das alles was aus 10.0.0.0/24 kommt und nach 192.168.1.130/24 will durch die Firewall des DD-WRT Routers muss.??
Quote:
IP any any soll erlaubt sein, zwischen der Range und der destination.


das hab ich jetzt nicht verstanden kannst du das nochmal genauer beschreiben was erlaubt sein soll.

für den Anfang
Code:
#erlaube vpn-clients zugriff auf 192.168.1.130/24
iptables -I FORWARD 1 –s 10.0.0.0/24 –d 192.168.1.130/24 –j ACCEPT
#verbiete vpn-clients zugriff auf 192.168.1.0/24
iptables -I FORWARD 2 –s 10.0.0.0/24 –d 192.168.1.0/24 –j DROP

so mal unter Administration -> comannds eintragen und mit Save Firewall abspeichern evtl. die Subnetzmaske anpassen von /24 nach /8 /16 .... jenachdem was für ein Subnetz anliegt.
Router neustarten.
Teste das mal so.

_________________
http://www.dd-wrt.com/phpBB2/search.php?
http://www.dd-wrt.com/wiki/index.php/Main_Page
http://www.dd-wrt.com/wiki/index.php/Category:Deutsche_Dokumentation

http://i-use.ipfire.org/profile/454051a193d29c9019ea3d0ce3c4b801435fd682/0.png


Last edited by pepe on Wed Jul 22, 2009 17:49; edited 1 time in total
ibanez
DD-WRT Novice


Joined: 12 Feb 2009
Posts: 22

PostPosted: Tue Jul 21, 2009 21:18    Post subject: Reply with quote
Quote:
IP any any soll erlaubt sein, zwischen der Range und der destination.


Destination = 192.168.1.130

Quote:
das hab ich jetzt nicht verstanden kannst du das nochmal genauer beschreiben was erlaubt sein soll.


Mit Range meinte ich den IP Bereich 10.0.0.240-245


Quote:
für den Anfang
Code:
#erlaube vpn-clients zugriff auf 192.168.1.130/24
iptables I FORWARD 1 –s 10.0.0.0/24 –d 192.168.1.130/24 –j ACCEPT
#verbiete vpn-clients zugriff auf 192.168.1.0/24
iptables I FORWARD 2 –s 10.0.0.0/24 –d 192.168.1.0/24 –j DROP


Ich trage es so ein aber mit 192.168.1.130/32
bzw. 10.0.0.240/28

Die Range ändere ich dann auf 10.0.0.241-254

Ich hoffe das passt so. Was passiert denn, wenn ich eine falsche Regel eintrage? Bekomme ich die einzeln wieder gelöscht?
ibanez
DD-WRT Novice


Joined: 12 Feb 2009
Posts: 22

PostPosted: Tue Jul 21, 2009 21:45    Post subject: Reply with quote
root@DD-WRT:~# iptables I FORWARD 1 –s 10.0.0.240/28 –d 192.168.1.130/32 –j ACCEPT
Bad argument `I'
root@DD-WRT:~#

Irgendwie passt ihm die Syntax nicht.
ibanez
DD-WRT Novice


Joined: 12 Feb 2009
Posts: 22

PostPosted: Wed Jul 22, 2009 10:13    Post subject: Reply with quote
Ok, ich merke schon, daß ich mich mit dem Stoff selber beschäftigen muß.

Als Quelle kann ich nur diese hier empfehlen:

http://www.64-bit.de/dokumentationen/netzwerk/e/002/DE-IPTABLES-HOWTO-1.html

Ich hatte vorher schon mal einen Ansatz gestartet um in das Thema rein zu kommen, bin aber jedesmal an der schlechten/drögen Dokumentation gescheitert.

Der Ansatz mit dem Filtern ist nicht ganz so einfach - Das Problem ist, daß ich meine Filterregeln nicht wirklich testen kann, da ich mich ja in meinem lokalen Netz befinde. Ich kann zwar einen VPN Tunnel aufbauen, allerdings wird lokaler Traffic nicht in den Tunnel geschoben.

Aber erstmal vielen Dank pepe für den Anstoss! Ich muß nun erstmal schauen wie ich mir eine geeignete Testumgebung bauen kann.
pepe
DD-WRT Guru


Joined: 16 Jun 2006
Posts: 2427
Location: Berlin, Germany

PostPosted: Wed Jul 22, 2009 14:08    Post subject: Reply with quote
sorry
das sollte natürlich
Code:
-I
heißen.
habe das mal oben korrigiert

die regeln unter Administration -> comannds eintragen und mit Save Firewall abspeichern sonnst sind sie nach einem neustart weg.
und löschen kannst sie da auch wieder.
Löschen per Konsole geht mit dem schalter -D
z.B.
Code:
iptables -D FORWARD 1

für die erste regel in der Forward kette.


Das kann ich dir auch sehr empfehlen.
Hab das hier als gebundene Ausgabe.
Linux Firewalls mit iptables & Co.
ebook free download

_________________
http://www.dd-wrt.com/phpBB2/search.php?
http://www.dd-wrt.com/wiki/index.php/Main_Page
http://www.dd-wrt.com/wiki/index.php/Category:Deutsche_Dokumentation

http://i-use.ipfire.org/profile/454051a193d29c9019ea3d0ce3c4b801435fd682/0.png
ibanez
DD-WRT Novice


Joined: 12 Feb 2009
Posts: 22

PostPosted: Wed Jul 22, 2009 21:15    Post subject: Reply with quote
WoW! 36 Kapitel...
Ich habe eben die ersten 5 Kapitel quergelesen. Ich hoffe ich finde die Zeit mir das komplette Buch vorzunehmen.
Display posts from previous:    Page 1 of 1
Post new topic   Reply to topic    DD-WRT Forum Forum Index -> Allgemeine Fragen All times are GMT

Navigation

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
You can attach files in this forum
You can download files in this forum