iptables en meer netwerkkaarten

Discussion:

(te oud om op te antwoorden)

Kees

2010-04-20 16:03:43 UTC

In mijn computer zitten 3 netwerkkaarten. Als ik een regel in IPTables
maak waarin geen verwijziging zit naar ethX, geldt die regel dan voor
alle interfaces (eth0, eth1 en eth2)?

Groeten,
Kees

Huub Reuver

2010-04-20 16:17:52 UTC

Permalink

Post by Kees
In mijn computer zitten 3 netwerkkaarten. Als ik een regel in IPTables
maak waarin geen verwijziging zit naar ethX, geldt die regel dan voor
alle interfaces (eth0, eth1 en eth2)?

Ja.

Met vriendelijke groet,
Huub Reuver

man iptables:
[!] -i, --in-interface name
Name of an interface via which a packet was received (only for
packets entering the INPUT, FORWARD and PREROUTING chains).
When the "!" argument is used before the interface name, the
sense is inverted. If the interface name ends in a "+", then
any interface which begins with this name will match. If this
option is omitted, any interface name will match.

Bonno Bloksma

2010-04-21 04:48:11 UTC

Permalink

Hi,

Post by Kees
In mijn computer zitten 3 netwerkkaarten. Als ik een regel in IPTables
maak waarin geen verwijziging zit naar ethX, geldt die regel dan voor
alle interfaces (eth0, eth1 en eth2)?

En bedoel je dan letterlijk die X of bedoel je X=0,1,2
Zie ook help en man pagina, eth0 is alleen eth0, eth+ is alle eth interfaces.

Bonno Bloksma

Kees

2010-04-21 06:29:06 UTC

Permalink

Het is me duidelijk. Ik kreeg (krijg) het nog niet voor elkaar om
IPTables op deze computer goed te laten werken, terwijl me het wel
lukt bij andere computers. Het enige (voor mij) duidelijke verschil
was dat de probleemcomputer 3 netwerkkaarten heeft terwijl de andere
maar 1 netwerkkaarthebben. Ondertussen begon ik te twijfelen aan die
regel.
Verder zoeken dus. Bedankt allemaal!

Groeten,
Kees

Huub Reuver

2010-04-21 17:21:58 UTC

Permalink

Post by Kees
Het is me duidelijk. Ik kreeg (krijg) het nog niet voor elkaar om
IPTables op deze computer goed te laten werken, terwijl me het wel
lukt bij andere computers. Het enige (voor mij) duidelijke verschil
was dat de probleemcomputer 3 netwerkkaarten heeft terwijl de andere
maar 1 netwerkkaarthebben. Ondertussen begon ik te twijfelen aan die
regel.
Verder zoeken dus. Bedankt allemaal!
Groeten,
Kees

Wat let je om met iptables als eerste regel alle verkeer per netwerkkaart
op te vangen en naar een eigen chain te leiden?

Onder het motto van "hoe het simpel en eenvoudig".
Verder kan het geen kwaad de netwerkkaarten in het begin van een script
met naam te noemen, omdat je dan eenvoudig de rules kunt aanpassen.

In eerste instantie zullen de regels copy/paste zijn van elkaar.
Dan even optimaliseren en het is leesbaar en werkbaar.

Met vriendelijke groet,
Huub Reuver

# variables
IPT=/sbin/iptables
INT_ETH=eth0
EXT_ETH=eth1
# reset/flush
$IPT -F
$IPT -X externrules
$IPT -X internrules
$IPT -N internrules
$IPT -N externrules
# main chain
$IPT -t filter -A INPUT -i $INT_ETH -s 192.168.0.0/16 -j internrules
$IPT -t filter -A INPUT -i $EXT_ETH -s !192.168.0.0/16 -j externrules
$IPT -t filter -A INPUT -i $EXT_ETH -j REJECT
$IPT -t filter -A INPUT -i $INT_ETH -j REJECT
# internal chain
$IPT -t filter -A internrules -j ACCEPT # or whatever
# external chain
$IPT -t filter -A externrules -j ACCEPT # or whatever
..etc..