4
Routing auf Router-IP in anderen Subnets blockieren
Gehen wir mal davon aus ich habe einen PC mit der IP 192.168.0.2, der Router hat in dem Netz die IP 192.168.0.1
Nun hat der Router aber auch noch andere IP-Adressen in anderen VLANs, beispielsweise 10.0.0.1...
Ich habe es bei mir eingerichtet, dass mein OpenWrt-Router nur auf der IP-Adresse 192.168.0.1 lauscht, damit z.B. vom Gastzugang und auch sonst kein Zugriff auf die Web-UI möglich ist.
Nun habe ich aber das Problem, dass ich aus 10.0.0.0/24 auf 192.168.0.1 zugreifen kann, obwohl das Forwarding in dieses Netz durch iptables verboten ist.
Alle anderen Forwardings in 192.168.0.0/24 werden auch geblockt, nur scheint die Router-IP da nicht mit reinzufallen?
Gibt es hier eine elegantere Lösung, als für jedes Interface eine Regel zu schreiben, dass wenn der Zugriff nicht von dem entsprechenden Interface kommt, dass es gedropt wird?
Auf dem WAN-Port funktioniert das zum Glück nicht, da ich hier zum einen NAT aktiv habe, sowie dort alle Inputs regulär gedropt werden.
Nun hat der Router aber auch noch andere IP-Adressen in anderen VLANs, beispielsweise 10.0.0.1...
Ich habe es bei mir eingerichtet, dass mein OpenWrt-Router nur auf der IP-Adresse 192.168.0.1 lauscht, damit z.B. vom Gastzugang und auch sonst kein Zugriff auf die Web-UI möglich ist.
Nun habe ich aber das Problem, dass ich aus 10.0.0.0/24 auf 192.168.0.1 zugreifen kann, obwohl das Forwarding in dieses Netz durch iptables verboten ist.
Alle anderen Forwardings in 192.168.0.0/24 werden auch geblockt, nur scheint die Router-IP da nicht mit reinzufallen?
Gibt es hier eine elegantere Lösung, als für jedes Interface eine Regel zu schreiben, dass wenn der Zugriff nicht von dem entsprechenden Interface kommt, dass es gedropt wird?
Auf dem WAN-Port funktioniert das zum Glück nicht, da ich hier zum einen NAT aktiv habe, sowie dort alle Inputs regulär gedropt werden.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 362764
Url: https://administrator.de/contentid/362764
Printed on: April 19, 2024 at 22:04 o'clock
4 Comments
Latest comment
Es ist deswegen möglich, weil es ja kein Forwarding ist, der Router merkt ja, dass es seine eigene Schnittstelle ist. Forwarding ist es erst, wenn es den Router wieder verlässt und auch erst, wenn dieses erkannt wird, werden die Regeln angewandt.
Wie man das bei Linux regelt, kann ich nicht sagen, gibts da sowas wie input?
Wie man das bei Linux regelt, kann ich nicht sagen, gibts da sowas wie input?
Moin,
ich weiß ja nicht wie weit du das ganze abschotten möchtest. Ich habe einfach in sollchen Netzen perse den "private-address-space" geblockt und eben Zielports wie DNS,HTTP,HTTPS freigegeben.
Wenn du so eine Konstellation erstellt hast kannst du die wahrscheinlich auch mit dem OpenWRT auf andere Interface kopieren.
Das Problem liegt eben im detail, denn deine Router stellt ja eben so Dienste wie DNS bereit. Es sei denn du teillst jedem Client per DHCP direkt nen externen dienst zu.
Gruß
Spirit
ich weiß ja nicht wie weit du das ganze abschotten möchtest. Ich habe einfach in sollchen Netzen perse den "private-address-space" geblockt und eben Zielports wie DNS,HTTP,HTTPS freigegeben.
Wenn du so eine Konstellation erstellt hast kannst du die wahrscheinlich auch mit dem OpenWRT auf andere Interface kopieren.
Das Problem liegt eben im detail, denn deine Router stellt ja eben so Dienste wie DNS bereit. Es sei denn du teillst jedem Client per DHCP direkt nen externen dienst zu.
Gruß
Spirit
Die Lösung ist doch kinderleicht. In den Access Regeln am 10er Netz sagst du ganz einfach
DENY Source: 10.0.0.0 /24, Destination: host 192.168.0.1
PERMIT Source: 10.0.0.0 /24, Destination: Any
Fertisch.
Zählen tut hier wie immer die Reihenfolge des Regelwerkes (First match wins !)
So löst man es bei klassischen Firewalls was auch bei iptables klappen sollte.
DENY Source: 10.0.0.0 /24, Destination: host 192.168.0.1
PERMIT Source: 10.0.0.0 /24, Destination: Any
Fertisch.
Zählen tut hier wie immer die Reihenfolge des Regelwerkes (First match wins !)
So löst man es bei klassischen Firewalls was auch bei iptables klappen sollte.
