Re(3): DD-WRT, OpenVPN & IPTABLES.

DD-WRT, OpenVPN & IPTABLES. (7 Beiträge, 690 Mal gelesen)

Du bist nicht angemeldet. [ Login/Registrieren ]

Hallo!

Ich bin gerade dabei OpenVPN in einem WRT54G einzurichten und stolpere natürlich über viele Linux Besondereheiten. Bevor ich hier ein Paar IPTables Rules ohne die Auswirkungen genauestens zu kennen setze, frage ich euch lieber was genau sie bewirken werden.

1. OpenVPN ist installiert und lauscht auf Port 25.
2. Es wird tap verwendet, interface tap0 ist vorhanden
3. bridge br0 ist vorhanden
4. tap0 ist an der bridge angebunden
5. in der bridge gesellen sich:
   a) vlan0 (ethernet switch)
   b) eth1 (wlan)
   c) tap0 (eh klar)
6. am vlan1 liegt der WAN port, dort steht auch die chello IP

nun, hier steht http://openvpn.net/bridge.html

Now set up the Linux firewall to permit packets to flow freely over the newly created tap0 and br0 interfaces:

    iptables -A INPUT -i tap0 -j ACCEPT
    iptables -A INPUT -i br0 -j ACCEPT
    iptables -A FORWARD -i br0 -j ACCEPT

sind diese regel angebracht? oder werden sie ein loch ins system schiessen?
soweit ich weiss muss diese regel hier vorhanden sein:
iptables -I INPUT 1 -p tcp --dport 25 -j ACCEPT
wie ist aber mit den anderen 3 aus dem link von openvpn? ziel ist dass road warriors sich per openvpn am router anmelden und so surfen können als ob sie im büro wären. (gesamttraffic soll über den router laufen, auch internettraffic um sniffing zu unterbinden)

anbei ist die derzeitige ip tables von WRT54G:
http://forum.geizhals.at/files/864/iptables.txt

danke!

Re: DD-WRT, OpenVPN & IPTABLES. (gepeinigter_aon_neukunde am 31.05.2006, 23:48:39)

Re(2): DD-WRT, OpenVPN & IPTABLES. (patos am 01.06.2006, 00:24:23)

iptables:
-I bedeutet "Insert ganz vorne"
-A bedeutet "Append ganz hinten".
- danach die Chain - INPUT/FORWARD/OUTPUT
-i bedeutet das Interface
-j ZIEL - wo er hinspringen soll, wenn die Regel matcht.

    iptables -A INPUT -i tap0 -j ACCEPT
    iptables -A INPUT -i br0 -j ACCEPT
    iptables -A FORWARD -i br0 -j ACCEPT

Diese 3 Regeln sagen also aus, daß sie ganz hinten im Regelwerk mal jeden Traffic erlauben, der von tap0 oder br0 reinkommt - und daß br0 forwarden darf - wenn nicht vorher eine andere Regel gegriffen hat (wegen -A).

Grundsätzlich gehe ich bei iptables immer wie folgt vor:
Jede Distri bringt ja ihre eigenen Regeln mit - bei SuSE zB sehr umfangreich. Also mal alles auf default machen lassen - dann klappt's mit allen Tools - danach ganz vorne (-I) in dem Regelwerk eingreifen und diverses untersagen. Das beantwortet auch deinen Sorgenpunkt... Natürlich erlaubst du damit allen Verkehr - den du nicht vorher mit "-I ... -j DROP" verworfen hast.

Wenn es sich übrigens um verschiedene Lans handelt, bist mit br0 AFAIK ganz falsch unterwegs... br0 ist eben AFAIK nur ne bridge, die man verwendet, wenn es sich um das selbe LAN handelt... Beispiel:
192.168.0.0/24er-Lan.
192.168.0.1-100 PC's
192.168.0.101-200 Road warriors

Davon würde ich eben abraten... - einfach weil die Config für mich einfacher wäre, wenn man die Lans bewußt trennen kann. zB 2 Lans:
192.168.0.0/25 und 192.168.0.128/25 - eines für LAN, eines für Roadwarrior.

Einziger Nachteil der Routing-Lösung: Broadcasts gehen nicht mehr durch - wäre mir aber an sich wurscht...

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung