Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- tachtler:archlinux_-_ip_forward_router [2020/09/02 19:30] – klaus
+++ tachtler:archlinux_-_ip_forward_router [2021/09/08 16:03] (aktuell) – [/etc/iptables/iptables.rules] klaus
@@ Zeile 1: / Zeile 1: @@
 ====== ArchLinux - ip_forward - Router ======
-Die Konfiguration eines Linux-Servers als **Router** ermöglicht es, z.B. eine Internet-Verbindung, welche an einem Server besteht,  mit weiteren Server im Netzwerk zu teilen, **__ohne__** das __jeder__ Server eine eigene Verbindung in Internet selbst herstellen muss.
+Die Konfiguration eines Linux-Servers als **Router** ermöglicht es, z.B. eine Internet-Verbindung, welche an einem Server besteht,  mit weiteren Servern im Netzwerk zu teilen, **__ohne__** das __jeder__ einzelne Server eine eigene Verbindung in das Internet selbst herstellen muss.
 ^ Beschreibung       ^ Externer Link                                                                   ^
@@ Zeile 37: / Zeile 37: @@
 ===== /etc/iptables/iptables.rules =====
-Damit der Server, welcher als Router fungieren soll, auch das Routing im Netzwerk durchführen kann, sind nachfolgende **Firewall**-Regeln zwingend erforderlich, auch wenn bis dato noch **__keine__** Firewallregeln konfiguriert wurden.
+Damit der Server, welcher als Router fungieren soll, auch das Routing im Netzwerk durchführen kann, sind nachfolgende **Firewall**-Regeln **__zwingend__** erforderlich, auch wenn bis dato noch keine Firewallregeln konfiguriert wurden.
 Nachfolgende Regeln können durch nachfolgende Befehle gesetzt werden:
-  * <code># iptables -t nat -A POSTROUTING -o net1 -j MASQUERADE</code>
+  * <code># iptables -t nat -A POSTROUTING ! -d 192.168.122.0/24 -o net1 -j SNAT --to-source 192.168.122.1</code>
-Aktivieren des **NAT** Mechanismus, damit die IP-Adresse des Servers, welcher als Router fungieren soll, als Absendeadresse für den dahinter liegenden Server verwendet wird und __nicht__ dessen IP-Adresse.
+Aktivieren des **SNAT** Mechanismus, damit die IP-Adresse des Servers, welcher als Router fungieren soll, als Absendeadresse für den dahinter liegenden Server verwendet wird und __nicht__ dessen eigene IP-Adresse.
-* <code># iptables -A FORWARD -i net0 -o net1 -m state --state RELATED,ESTABLISHED -j ACCEPT</code>
+:!: **WICHTIG** - **Persistieren der neuen Regeln!**
-Erlaubnis zum **forwarden** (durch reichen) von Anfragen vom Netzwerkinterface ''net0'' welches zum Server ohne eigene Internetverbindung zeigt, an das Netzwerkinterface ''net1'', welches mit dem Internet verbunden ist.
+Nachfolgender Befehl speichert die **neuen Firewallregeln** zusammen **mit ggf. bereits vorhandenen Firewallregeln**:
+<code>
+# iptables-save > /etc/iptables/iptables.rules
+</code>
-* <code></code>
+Ein Test, ob die **neuen Firewallregeln** gespeichert wurden, kann durch Laden der zuvor gespeicherten Regeln mit nachfolgendem Befehl erfolgen:
+<code>
+# iptables-restore /etc/iptables/iptables.rules
+</code>
+Ein minimaler Firewallregelsatz könnte wie in nachfolgendem Beispiel gezeigt aussehen:
+  * ''/etc/iptables/iptables.rules''
+<code bash>
+# Generated by iptables-save v1.8.5 on Mon Sep  7 12:31:03 2020
+*nat
+:PREROUTING ACCEPT [0:0]
+:INPUT ACCEPT [0:0]
+:OUTPUT ACCEPT [0:0]
+:POSTROUTING ACCEPT [0:0]
+-A POSTROUTING ! -d 192.168.122.0/24 -o net1 -j SNAT --to-source 192.168.122.10
+COMMIT
+# Completed on Mon Sep  7 12:31:03 2020
+</code>
-abc