DU Nerd!!!
Freizeit und Gesellschaft949 Mitglieder
DU Nerd!!!
Freizeit und Gesellschaft949 Mitglieder
Mehr brandheiße Inhalte
zur Gruppe
Nerds und Gamer
1095 Mitglieder
Das Thema ist für dich interessant? Jetzt JOYclub entdecken
  1. Gruppe
  2. ARCHIV
  3. Linux IPTables

Linux IPTables

Afrika 2024/07
Nur für Mitglieder
*******te78 Mann
442 Beiträge
Themenersteller 
  • Inhalt melden
Linux IPTables
Moin zusammen!
Kennt sich jemand mit den IPTables unter Linux / Debian aus? Ich habe da ein "spezielles" Problem. Im Grunde aber vermutlich Standard....

In einem Netz mit VLANs (genauer bei mir zu Hause) wird der Internetzugang über eine Fritzbox hergestellt. Diese dient nur als Modem (PPPOE an Port 4) für einen Cisco-Router und als SIP-Registrar/Telefonanlage.

Alle VOIP Endgeräte und auch die FB befinden sich in VLAN 4 (192.168.4.0/24). Alles gut soweit!

2 Probleme mit gleicher Ursache:
Das Erste ist nicht ganz so schlimm. Um auf die Konfigurationsseite der FB zugreifen zu können, muss ich einen PC (zumindest temporär) auch in dieses VLAN 4 packen. Nur dann akzeptiert die Firewall der FB (diese kann man nicht abschalten) die Anfrage, da diese nur Anfragen aus dem fritzboxeigenen Netzbereich/Subnetz akzeptiert.

Das Zweite Problem ist schwerwiegender. Mein Handy befindet sich in VLAN 6 (192.168.6.0/24) und aus gleichen Gründen kann dieses nicht als WLAN-Telefon in der Fritzbox registriert werden.
(Insbesondere im aktuell stark genutzten Home-Office ein Problem.....)

Die Idee:
Ich nehme einen kleinen Raspberry Pi und packe diesen in das VLAN 4. Von diesem müssten alle Anfragen an die FB von deren Firewall akzeptiert werden. Die eigentlich Anfrage (an die Konfigurationsseite der FB und an die PBX) stelle ich nun an den Raspberry, der die Anfrage maskiert und weiterleitet (Portforwarding)
Ich habe noch keine Ahnung, ob das am Ende wegen der Latenz und so zu Problemen kommt....

Fragen:
• Geht das über nur eine Netzwerkschnittstelle?
• Ich scheitere leider noch an der (simplen) Weiterleitung der Konfigseite und tappe noch blind in den IPTables rum. Kann mir da einer Hilfestellung anbieten?
• Kann das überhaupt funktionieren?

Nerdige Grüße
Oliver
Profilbild
Nur für Mitglieder
********ot42 Mann
73 Beiträge
  • Inhalt melden
Ich bin mir nicht sicher, ob ich deinen Netzaufbau richtig verstehe, deswegen einmal zur Kontrolle, wie ich das jetzt Verstanden habe:

Internet (PPPoE) - Uplink:[Fritzbox]:Ethernet - Cisco-Router VLAN 4 (192.168.4.0/24)

Dein WLAN-AccessPoint hängt ebenfalls am Cisco-Router, jedoch im VLAN 6 (192.168.6.0/24)

Der Cisco routet zwischen 192.168.4.0/24 und 192.168.6.0/24

Falls das alles so richtig ist, die erste wichtige Frage:

Warum die VLAN-Trennung, welche effektiv durch das Routing keine Schutzfunktion mehr bietet?

Für dein Problem gibt es zwei Varianten, entweder per iptables oder mit socat. Letzteres hat den Vorteil, dass es auch mit IPv6 läuft, während die Portweiterleitung afaik auf IPv4 beschränkt ist. Dafür ist socat als Userland-Prozess tendentiel langsamer als iptables auf Kernelebene.

(Annahme: die IP der FB ist 192.168.4.1, 192.168.4.2 die des Raspis, und eth0 der Name des Netzwerkinterface)

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.4.1:80
iptables -t nat -A POSTROUTING -o eth0 -d 192.168.4.1 -p tcp --dport 80 -j SNAT --to-source 192.168.4.2

Eine alternative mit socat:

socat TCP-LISTEN:80,fork TCP:192.168.4.1:80

Damit solltest du dann als ersten Schritt schon mal an die Konfigurationsseite der Fritzbox kommen.
Afrika 2024/07
Nur für Mitglieder
*******te78 Mann
442 Beiträge
Themenersteller 
  • Inhalt melden
Dann sage ich mal Danke!
Dieses Listing oben hat mir erstmal den Anfang gezeigt. die WebGUI erreiche ich und aus der TelefonAPP finde ich zumindest schonmal die FB. Verbinden und telefonieren kann ich mich noch nicht. Ich denk, da sind noch Ports nicht offen ??? Ich weiß nur leider nicht genau, welche ich benötige....

Danke eich für den Stubs in die richtige Richtung!


PS: Muss denn immer alles der Sicherheit dienen?? Kann man denn icht (sein eigenes) Netzwerk auch als Test, Studien und Lernumgebung betrachten?? *zwinker* Natürlich ist mein Netz zu Hause völlig übertrieben und viele eigentlich nicht nötig. Aber "beim Kunden lernen wie es geht" sieht immer extrem unprofessionell aus!!
Afrika 2024/07
Nur für Mitglieder
*******te78 Mann
442 Beiträge
Themenersteller 
  • Inhalt melden
N'abend!
ich habe da noch Fragen bzw Probleme.....

Es gelingt mir die Firewall der Fritzbox auszutricksen *lol* *freu* und die FritzAPP Fon (um Probleme mit anderen APPs zunächst auszuschließen nutze ich zum Test diese) findet die Fritzbox und kann sich verbinden. Wer die APP kennt, der kennt evt auch oben rechts die beiden farbigen Anzeigen: Fritz!Box wird sofort grün, Telefonie (da drüber) wird zunächst gelb und dann rot. Telefonieren ist also nicht möglch.

An den Einstellungen der FB oder APP liegt es nicht. Auch andere Fehlerquellen kann ausschließen: Ich habe kurzer Hand ein weiters WLAN aufgespannt und dies in das VLAN 4 gepackt. Verbinde ich das Handy mit diesem VLAN kann ich sofort telefonieren.....

Jetzt habe ich die Grundsätzliche Frage, ob dieses Problem evt auch in einem anderen Zusammenhang schonmal jemand gehabt hat und am liebsten dazu ein Lösung kennt. Evt hat dies eine andere Ursache als meine "Trickserei"....
Weiter (evt an @******Who) frage ich mich, ob ich die Firewallregeln richtig angepasst habe.

Mir kam zur ersten Frage noch die Idee, ob evt die Fritzbox versucht zum Handy eine Verbindung aufzubauen. Anhand der Daten, die sie durch eine Verbindungsanfrage des Handy umgeleitet vom Raspberry bekommt. Das würde ja nicht funktioneren, da der Raspberry in der ersten Firwall-Konfig alle Anfragen an die FB weitergeleitet hat (Ein netter Rundlauf *lol*). Deswegen habe ich weitere Regeln erstellt, die Anfragen gezielter umleiten. Und genau da frage ich mich, ob ich das richtig gemacht habe......

192.168.4.171 Raspberry
192.168.4.178 Fritzbox
192.168.6.209 Handy

# Vom Handy zur Fritzbox TCP
iptables -t nat -A PREROUTING -i eth0 -s 192.168.6.209 -p tcp --dport 0:65535 -j DNAT --to-destination 192.168.4.178
iptables -t nat -A POSTROUTING -o eth0 -d 192.168.4.178 -p tcp --dport 0:65535 -j SNAT --to-source 192.168.4.171

# Vom Handy zur Fritzbox UDP
iptables -t nat -A PREROUTING -i eth0 -s 192.168.6.209 -p udp --dport 0:65535 -j DNAT --to-destination 192.168.4.178
iptables -t nat -A POSTROUTING -o eth0 -d 192.168.4.178 -p udp --dport 0:65535 -j SNAT --to-source 192.168.4.171

# Vo der Fritzbox zum Handy TCP
iptables -t nat -A PREROUTING -i eth0 -s 192.168.4.178 -p tcp --dport 0:65535 -j DNAT --to-destination 192.168.6.209
iptables -t nat -A POSTROUTING -o eth0 -d 192.168.6.209 -p tcp --dport 0:65535 -j SNAT --to-source 192.168.4.171

# Von der Fritzbox zum Handy UDP
iptables -t nat -A PREROUTING -i eth0 -s 192.168.4.178 -p udp --dport 0:65535 -j DNAT --to-destination 192.168.6.209
iptables -t nat -A POSTROUTING -o eth0 -d 192.168.6.209 -p udp --dport 0:65535 -j SNAT --to-source 192.168.4.171

Mir ist bewußt, dass ich --dport 0:65535 auch weglassen könnte. Um mir das aber zu Beginn etwas zu verdeutlichen steht das da......

Vielen Dank für euere Ideen! *idee*
Danke!
Profilbild
Nur für Mitglieder
********ot42 Mann
73 Beiträge
  • Inhalt melden
Bei UDP ist das Postrouting eigentlich unnötig, weil die Pakete keine Antwort erwarten, aber schaden kann es vermutlich auch nicht. Ich weiß aber nicht genau, wie das Protokoll der App funktioniert. Falls die Fritzbox ihre eigene IP-Adresse darüber mitteilt, und die App dann versucht, sich damit zu verbinden, wird das natürlich scheitern. Eventuell kannst du dir mit Wireshark auf dem Raspberry den zwischen Fritzbox und App fließenden Traffic anschauen, falls der nicht verschlüsselt ist.
Afrika 2024/07
Nur für Mitglieder
*******te78 Mann
442 Beiträge
Themenersteller 
  • Inhalt melden
*aua* Ja, natürlich... Bei UDP macht ein postrouting kaum sind *lol* Manchmal ist man auch ein bischen blöd dabei.....

Das mit der IP könnte natürlich sein, wobei ich mich frage, warum sie das tun sollte, da die APP die IP bereits kennt, wenn man nicht solche futelei betreibt. Die APP findet die FB selbstständig im Netz oder man gibt alternativ deren IP an.....

Ich werde wohl mal mir Wireshark ran müssen. Ja, ist wohl der Standard, ich mag das Programm trotzdem nicht....

Danke!
Afrika 2024/07
Nur für Mitglieder
*******te78 Mann
442 Beiträge
Themenersteller 
  • Inhalt melden
So, ich gebe auf 😥😥😥
Mit Wireshark zu sehen kommuniziert das Handy zu Beginn wie geplant mit dem Raspberry der dann alles entsprechend weiterleitet. "Plötzlich" sieht man aber eine direkte Kommunikation zwischen dem Handy und der Fritzbox.
Ich habe es eben nicht glauben wollen, aber du hast wirklich Recht.....

Man sieht es auch, wenn ich, wie oben beschrieben, das Handy in das extra eingerichtete WLAN im VLAN 4 einbuchen. Spreche ich dann den Raspberry an ändert sich auch in der App sofort die IP auf die der FB.

Alter, Nerven mich diese Fritzboxen........

Ich danke euch!
Profilbild
Nur für Mitglieder
********nsen Mann
969 Beiträge
  • Inhalt melden
Ich denke, es ist das neue Kernel-Problem in Ubuntu, dass die iptable durcheinander gebracht wird. In Manjaro-Linux habe ich jedoch gerade meinen Netzwerktreiber installiert, der ohne Probleme funktioniert. Das Gleiche gilt für linuxmint. Dies könnte dir helfen:
https://ubuntuforums.org/showthread.php?t=2441079
Afrika 2024/07
Nur für Mitglieder
*******te78 Mann
442 Beiträge
Themenersteller 
  • Inhalt melden
Ich bin mir nicht sicher, wieso du auf die Idee kommst, dass die IP-Tables durcheinander geraten, was das mit dem Kernel zu tun haben soll und wie mir dieser Threat helfen soll
Anmelden und mitreden
Du willst mitdiskutieren?
Werde kostenlos Mitglied, um mit anderen über heiße Themen zu diskutieren oder deine eigene Frage zu stellen.