iptables nat: wie absichern ?

[le bart]

hallo!

wenn im iptables das nat aktiviert wird, reichen dann die regeln aus der *filter-chain um das nat nur für die darin erlaubten zur verfügung zu stellen oder ist das dann für alle welt offen?

hintergrund is der:


ich will den server den ich über vpn erreiche als nat-server einrichten. laut openvpn reicht diese einstellung im iptables:

-A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
mein subnetz is auch tatsächlich 10.8.0.0 und eth0 is das einzige inet-interface; soweit so schlecht, es funkt nämlich nur ohne die source-angabe. das wäre dann die iptables die unten abgebildet ist ohne das fettgedruckte. sobald ich di source angabe rein tu is aus mit nat. es hilft auch nix wenn ich alle vpn-ips nacheinander dazugebe, also
iptables -t nat -A POSTROUTING -s 10.8.0.1 -o eth0 -j MASQUERADE (10.8.0.1 os der vpn endpunkt; .5 gateway, .6 client - alle drin, nix tut sich)




da ich in iptables net firm bin, bin ich mir unsicher, ob ich ohne source angabe net alle welt das nat zur verfügung stelle. oder werden die regeln in *filter auch auf das nat angewendet? ich hab schon probiert im prerouting reinzugeben, dass nur das tun interface darf, sonst alles drop, was zum erfolg hatte, dass alles blockiert wird und vpn natürlich nicht connectet..verzwickt!

das gleiche für *raw und *mangle -> muss da eine beschränkung rein oder nimmt er die aus *filter???

Code:

# Generated by iptables-save v1.4.1.1 on Sat Oct 25 14:08:20 2008
*raw
:PREROUTING ACCEPT [202:31093]
:OUTPUT ACCEPT [199:41473]
COMMIT
# Completed on Sat Oct 25 14:08:20 2008
# Generated by iptables-save v1.4.1.1 on Sat Oct 25 14:08:20 2008
*nat
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 10.8.0.1 -j MASQUERADE
COMMIT
# Completed on Sat Oct 25 14:08:20 2008
# Generated by iptables-save v1.4.1.1 on Sat Oct 25 14:08:20 2008
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed on Sat Oct 25 14:08:20 2008
# Generated by iptables-save v1.4.1.1 on Sat Oct 25 14:08:20 2008
*filter
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
# localhost darf alles
-A INPUT -i lo -j ACCEPT
# vpn incoming
-A INPUT -i tun0 -j ACCEPT
# ssh
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
# vpn udp
-A INPUT -p udp -m udp --dport 310 -j ACCEPT
# vpn tcp
-A INPUT -p tcp -m tcp --dport 310 -j ACCEPT
# smtp
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
# vpn udp
-A INPUT -j DROP
COMMIT
# Completed on Sat Oct 25 14:08:20 2008

[le bart]

gut, nach ein bischen lektüre bin ich der meinung das müsste so gemacht werden:

1. nat erlauben nur für packete von dev tun
-> im *filter forward alles auf drop ausser pakete von tun
2. nat masquerade oder snat
-> im *nat alles accept snat auf eth0

wieder dasselbe problem: snat tut nur, wenn *filter-forward auf alles accept gestellt ist, mit default-drop aber alles von tun/vpn/vpn-ip/gateway funkt es nicht;
das nat is sogar dann down wenn ich im *filter forward die regel reintu dass er alles was nicth von eth0 akzeptieren soll.
also irgendwie is er der meinung die vpn anfragen kommen von eth0 oder wie?

[ingomar]

und wenn du statt "-s 10.8.0.0/24" einfach "-s tun0" reingibst ?

denke mich erinnern zu können, es damals so eingerichtet zu haben...