Hallo,

für meinen VPN server hab ich folgendes iptables script


VPN user bekommen aus dem 10.15.127 netz eine adresse zugewiesen und werden über eth0 geroutet.
Jetzt hat sich mein provider beschwert, dass jemand ein port scanning betrieben hat.


###################################################################
# Netscan detected from host 1.2.3.4 #
###################################################################


time src_ip dest_ip:dest_port
-------------------------------------------------------------------
Sun Nov 9 12:18:27 2008: 1.2.3.4 => 10.15.127.2: 137
Sun Nov 9 12:18:29 2008: 1.2.3.4 => 10.15.127.2: 137
Sun Nov 9 12:18:30 2008: 1.2.3.4 => 10.15.127.2: 137
Sun Nov 9 12:18:33 2008: 1.2.3.4 => 10.15.127.2: 137
Sun Nov 9 12:18:35 2008: 1.2.3.4 => 10.15.127.2: 137
Sun Nov 9 12:18:36 2008: 1.2.3.4 => 10.15.127.2: 137
Sun Nov 9 12:18:27 2008: 1.2.3.4 => 10.15.127.3: 137
Sun Nov 9 12:18:29 2008: 1.2.3.4 => 10.15.127.3: 137
Sun Nov 9 12:18:30 2008: 1.2.3.4 => 10.15.127.3: 137
Sun Nov 9 12:18:33 2008: 1.2.3.4 => 10.15.127.3: 137
Sun Nov 9 12:18:35 2008: 1.2.3.4 => 10.15.127.3: 137
Sun Nov 9 12:18:36 2008: 1.2.3.4 => 10.15.127.3: 137


1.2.3.4 ist die addresse des servers.
seine diagnose war:
"soetwas kann passieren wenn z.B. die routen auf dem Server nicht stimmen, der
Server hat also die privaten IP's in unser Netz geroutet - dies darf man aber
nicht"

und als tipp gab er mir:
"mit iptables das Routen privater Netze auf das externe Interface verbieten."
mit auf den weg.

davon hab ich aber keine ahnung. kann mir da jemand nen tipp geben?
danke.
kann mir je

Ich kenne mich mit iptables nicht so gut aus, aber es könnte so funktionieren:

Das sollte die QuellIPs aller Pakete, die nach eth0 gehen auf die IP des Routers ändern.

nee, stopp, ich habe dich falsch verstanden.
Ist einfach zu spät.

ich versteh mich selber ja nicht ...

kennt jemand ein gutes tutorial zu iptables?
man page oder help helfen mir irgendwie nix.

kann mir jemand bestätigen


iptables -A INPUT -s ! 10.15.127.0/24 -d 10.15.127.0/24 -j DROP

das es das tun würde?

Sieht aus als währe das in Ordnung.
die Regel schmeißt alle Pakete weg, die im 10.15.127.0/24 Netz laufen und für dies sind.

Wofür das "!" weiß ich aber nicht. Ich würde es weglassen.

Das "!" steht für die Negierung.

aus der Manpage:

Quote

-s, --source [!] address[/mask]
....
A "!" argument before the address specification inverts the sense of the address.
....

Ich bin allerdings nicht so ganz im Klaren, ob die Regel wirklich helfen kann.

Ich habe mich nie wirklich tief mit iptables beschäftigt, vor allem nicht mit der FORWARD oder PRE-/POSTROUTING chain(s) etc.
Wenn ich mich recht erinner, dann wird die INPUT chain dann benutzt, wenn die Pakete für den Host selbst bestimmt sind, auf dem das IPTABLES läuft. Wenn die Pakete weitergeleitet werden sollen, dann greift wohl die FORWARD chain.
(Ein Blick in die Manpage bestätigt mich darin ;o) )

Ein Tutorial habe ich leider nicht zur Hand.

Ich tendiere dazu, die Regel in der PREROUTING chain zu definieren; denn sie dient dazu, reinkommende Pakete vor dem Routing zu verändern...

[edit]umformuliert und ergänzt[/edit]

Tutorials gibts z.B. da: http://www.netfilter.org

Und Wikipedia hat ein schönes Bild, wie die Chains durchlaufen werden:
http://de.wikipedia.org/w/index.php?title=Bild:Nfk-traversal.png&filetimestamp=20050506223606
Da sieht man auch gut, in welcher Reihenfolge die Tables (conntrack, mangle, nat, filter) durchlaufen werden.

Moin esskar,
ein weiteres gutes IpTables-Tutorial (meiner Meinung nach) findest Du unter:
http://linuxseiten.kg-it.de/index.php?index=themes_firewall