Problem mit arno-iptables-firewal

08/10/2016 - 19:50 von Sebastian Suchanek | Report spam
Hallo Liste!

Hier[tm] steht eine Kiste mit Jessie, die u.a. als Router vom LAN zum
DSL-Internetzugang sowie als dazugehörige Firewall dient. Dabei hat sie
effektiv drei Netzwerk-Interfaces:

- eth0: zum lokalen LAN (10.1.0.0/16)
- ppp0: zum Internet (das DSL-Modem hàngt physikalisch an eth1)
- tun0: ein OpenVPN-Server

Als Firewall làuft darauf bislang "arno-iptables-firewall", die
eigentlich nicht viel zu tun hat: Traffic vom LAN ins Internet "NATen",
aus dem Internet auf einigen festgelegten Ports Zugriffe auf den Server
zulassen sowie den Verkehr zwischen eth0 und tun0 zulassen. Die ersten
beiden Punkte funktionieren soweit wie gewünscht, lediglich beim dritten
Punkt habe ich jetzt auf die harte Tour[1] gemerkt, dass die Firewall
auch den Datenverkehr von und ins VPN NAT-maskiert - was so von mir
nicht gewünscht ist.

Die IMHO relevanten Eintràge in
/etc/arno-iptables-firewall/firewall.conf sehen so aus:

| [...]
| INT_IF="eth0 tun0"
| INTERNAL_NET="10.1.0.0/16 10.2.0.0/16 10.255.1.0/24"
| NAT=1
| NAT_INTERNAL_NET="10.1.0.0/16"
| TRUSTED_IF="eth0 tun0"
| [...]

Die komplette Config habe ich hier hochgeladen:

http://suchanek.de/temp/firewall.conf (53kB)

Zur weiteren Erklàrung: 10.2.0.0/16 ist der Adressbereichs eines zweiten
LANs, das über den OpenVPN-Tunnel mit dem Server verbunden ist,
10.255.1.0/24 ist das Transfernetz innerhalb von OpenVPN.

Wie kann ich nun erreichen, dass die Firewall den Verkehr in und aus dem
VPN *nicht* maskiert? Bzw., falls sich das arno-iptables-firewall-Skript
nicht dazu überreden lassen können sollte: welche andere Firewall-Lösung
aus den Debian-Repositories, das die o.g. Bedingungen erfüllt, könnt Ihr
empfehlen?


TIA,

Sebastian
 

Lesen sie die antworten

#1 Christian Knoke
08/10/2016 - 23:10 | Warnen spam
Sebastian schrieb am 08. Oct um 19:48 Uhr:
Hallo Liste!

Hier[tm] steht eine Kiste mit Jessie, die u.a. als Router vom LAN zum
DSL-Internetzugang sowie als dazugehörige Firewall dient. Dabei hat sie
effektiv drei Netzwerk-Interfaces:

- eth0: zum lokalen LAN (10.1.0.0/16)
- ppp0: zum Internet (das DSL-Modem hàngt physikalisch an eth1)
- tun0: ein OpenVPN-Server



Wie sieht denn das Routing aus?

Macht dein Provider tatsàchlich DCHP?


Gruß
Christian

Christian Knoke * * * http://cknoke.de
* * * * * * * * * Ceterum censeo Microsoft esse dividendum.

Ähnliche fragen