DMZ Zugriff auf zweites Netz

marmel91

marmel91

Neuling
Thread Starter
Mitglied seit
04.12.2012
Beiträge
43
Hallo,

folgende Netzwerkkonfiguration: 1 Router vom Provider, der geht ins Internet raus und es hängen auch die PCs von meinen Eltern mit dran. Dann hab ich einen Router mit Open WRT der als 2. Nat Router fungiert. Dieser hängt praktisch über seinen WAN Anschluss am andern Router und praktisch im Netz meiner Eltern. Mein Lan ist wiederum ein extra Netz. Jetzt habe ich zusätzlich noch eine DMZ mit Vlans erstellt an meinem Router, welche auf mein LAN keinen Zugriff hat , das habe ich alles über iptables eingestellt. Aber egal ob mein Lan oder die DMZ, beide forwarden Traffic über das WAN Interface des Routers. Wenn ich jetzt also einen Webserver in der DMZ habe, dann hat dieser keinen Zugriff , auf mein LAN , geht aber über das WAN Interface ins Internet und damit darf er ja auch ins Netz meiner Eltern routen, weil das WAN Interface des Routers sich ja in diesem Netz befindet. Wie verhinder ich also den Zugriff von der DMZ auf die Rechner im Elternnetz, es soll nur Traffic möglich sein zum Gateway. Alles andere verboten.

Vielen Dank!
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Hallo Marmel91,

sollte ganz einfach realisierbar sein.

Ich hab mal eine Grafik mit Beispiel IP Klassen erstellt.
So sollte es wenn ich dich richtig verstanden habe aussehen.

hardwareluxx@marmel91.jpg

Du möchtest nun den Zugriff auf das Netz deiner Eltern unterbinden ohne das der Server aus der DMZ kein Internet Zugriff mehr hat.

Dazu würde ich mich wieder Iptables bediehnen.
Code: 
iptables -N DMZ
iptables -A DMZ -m state --state NEW -s 192.168.2.0/24 -j ACCEPT
iptables -A DMZ -m state --state NEW -s 192.168.1.0/24 -j ACCEPT
iptables -A DMZ -m state --state RELATED,ESTABLISHED  -j ACCEPT
iptables -A DMZ -i eth1 -s 192.168.3.0/24 -d 192.168.1.1 -p tcp --dport 80 -j REJECT
iptables -A DMZ -i eth1 -s 192.168.3.0/24 -d 192.168.1.1 -j ACCEPT
iptables -A DMZ -i eth1 -s 192.168.3.0/24 -d 192.168.1.0/24 -j REJECT
iptables -A DMZ -i eth1 -s 192.168.3.0/24 -d 192.168.2.0/24 -j REJECT
iptables -A FORWARD -j DMZ

Natürlich musst du noch das Interface, die Ip Netze und Ip Adressen anpassen.

Der Dport 80 ist dafür da das niemand auf die Oberfläche des Routers deiner Eltern zugreift.


Mfg Foxtrot
 
Vielen Dank, für was wird das iptables -N DMZ, iptables -A FORWARD -j DMZ und die --state NEW -s am Anfang benötigt?
 
Zuletzt bearbeitet:
iptables -N DMZ
erstellt eine neue Chain (Kette)

iptables -A DMZ -m state --state NEW -s 192.168.2.0/24 -j ACCEPT
iptables -A DMZ -m state --state NEW -s 192.168.1.0/24 -j ACCEPT
hier wird eine neue Verbindung aus dem Netz 192.168.1.0/24 und 192.168.2.0/24 erlaubt.
Soll dafür da sein das du von deinem PC und dein Router aus die DMZ zugreifen können.

iptables -A DMZ -m state --state RELATED,ESTABLISHED -j ACCEPT
damit alle Pakete aus bestehenden Verbindungen immer geroutet werden, (sprich auch der rückweg der Pakete) müssen diese Akzeptiert werden.

iptables -A FORWARD -j DMZ
Hier wird die selbst erstellte Chain der Chain Forward zugewiesen.
Denn nur in der Chain Forward werden die gerouteten Pakete verarbeitet.

mfg Foxtrot
 
Anmelden, um zu antworten.

Ähnliche Themen

G
OPNsense Vlan konfigurieren
Antworten
14
Aufrufe
1K
KurantRubys
KurantRubys
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh