Re: IPTables

Hi Robin!

Robin Zimmermann schrieb:
> ich werde mich mit meinem Problem an euch, weil ich sehr hoffe, dass
> ihr mir spontan weiterhelfen könnt.

Ich hoffe weiterhelfen zu können, wenn auch nicht spontan, sondern aus Anlaß
Deiner Email! :-)

> Unser Proxy-Server gewährt den Zugang zum Internet, unsere Nutzer

Ist tatsächlich ein Proxy-Server wie z.B. squid im Spiel? Ist dies ein
transparenter Proxy? (eigentlich kapernder Proxy)

> sämtliche Ports freigegeben haben, und jegliche Rechner im Netzwerk
> sollen die Möglichkeit haben über die Ports 5000 und 5500 eine gewisse
> VPN Verbindung für ein sogenanntes Global Remote zu nutzen.

Meinst Du TCP? Oder vielleicht UDP? Werden die Verbindungen kommend oder gehend
aufgebaut? Gehende Verbindungen werden einfach über MASQUERADE nach draußen
geleitet. Kommende Verbindungen können z.B. nach Zielportnummer sortiert an
interne IP-Adressen geforwardet werden.

Wenn ich das jetzt richtig verstehe, dann soll ausgehend jede Verbindung per
MASQUERADE gestattet werden. Das schließt TCP und UDP mit Zielportnummern 5000,
5500 sowie 21 (FTP) ein.

Die iptables-Regel hierfür:

iptables -t nat -A PREROUTING -j MASQUERADE
Ich gehe davon aus, daß die nat-Tabelle leer ist und auf die Defaultziele auf
ACCEPT stehen. Außerdem sollte "1" in /proc/sys/net/ipv4/ip_forward stehen.
Damit von internen Clients aus aktives FTP funktioniert, (FTP-Server öffnet
Datenverbindung) solltest Du auch das Kernelmodul für "ftp connection tracking"
laden. Müssen eingehend irgendwelche Dienste weitergeleitet werden an interne
Adressen, gehört das in PREROUTING/nat. Hierüber kannst Du auch einen
transparenten Proxy realisieren, falls wirklich gewünscht. Vermutlich möchtest
Du aus Sicherheitsgründen die filter-Tabelle auch nicht auf ACCEPT stehen
lassen, sondern auf DROP oder REJECT und explizit die "erlaubten" Dienste eintragen.

MfG

Kevin

-- 
http://counter.li.org/cgi-bin/runscript/display-person.cgi?user=214656
http://www.kevin-price.de/ http://kevin.price.name/  ICQ#75570407