Hallo zusammen,
heute konnte ich bei dem Versuch, ein Gerät am LAN4-Port der Box (als Gastzugang) zu betreiben, ein seltsames Verhalten beobachten.
Kurz zur Vorgeschichte:
Auf der Box läuft netfilter/iptables, der insbesondere das insbesondere den Zugang zur Box selbst weitreichend limitiert. Nachdem ich nun ein Gerät an LAN4 gehängt hatte, bekam dieses (bzw. sein Ethernet-Adapter) auch korrekt eine IP aus dem Netz 192.168.179.ß/24 zugewiesen. Alleine der Zugriff ins Internet schlug fehl. Eine Inansichtnahme der iptables-LOGS führte mich zunächst hierzu:
Also habe ich testweise eine weiter INPUT-Regel spendiert:
Das alleine fand ich schon merkwürdig, weil doch nach meinem Verständnis der Sinn des Gastzugangs darin besteht, daß die Box selbst für jeglichen Netz-Traffic vom und zum Gastnetz transparent ist, also insbesondere ein Zugriff auf die Box werder nötig noch sinnvoll ist.
Nachdem ich diese Regel geladen hatte, lief der Internetzugang an meinem Gerät via LAN4 immer noch nicht. Die LOGS hierzu:
Die Source-IP ist hier die öffentliche Adresse der Box. Nun meine Frage:
Warum sollte der Traffic vom und zum Gastnetz Zugriffe auf die Box selbst (INPUT) benötigen ? Da ich hier doch große Bedenken hatte (insbesondere bei dem Gedanken, Zugriff auf die Box vom DSL-Device freizugeben), habe ich das erst mal gelassen.
Hat zu diesem Mechanismus evtl. jemand eine Idee und/oder könnte mir einen Tip geben, wie man das Regelwerk an dieser Stelle besser gestalten kann ?
Spielt hier möglicherweise der berüchtigte PA wieder herein ?
Grüße,
JD.
heute konnte ich bei dem Versuch, ein Gerät am LAN4-Port der Box (als Gastzugang) zu betreiben, ein seltsames Verhalten beobachten.
Kurz zur Vorgeschichte:
Auf der Box läuft netfilter/iptables, der insbesondere das insbesondere den Zugang zur Box selbst weitreichend limitiert. Nachdem ich nun ein Gerät an LAN4 gehängt hatte, bekam dieses (bzw. sein Ethernet-Adapter) auch korrekt eine IP aus dem Netz 192.168.179.ß/24 zugewiesen. Alleine der Zugriff ins Internet schlug fehl. Eine Inansichtnahme der iptables-LOGS führte mich zunächst hierzu:
Code:
Apr 1 21:37:59 fritz kern.warn kernel: [IPT] DENY-FRITZ-ACCESS IN=guest OUT= MAC=24:*:*:6f:ce:67:00:*:15:ab:*:51:08:00:45:00:00:4f:*:08:*:00:*:11:bb:2e:c0:*:b3:*:c0:a8:*:01:6d:*:00:35:00:3b:fc:3e:0b:9d:01:00:00:01:00:00:00:00:00:00 SRC=192.168.179.20 DST=1.....
Code:
iptables -A INPUT -i guest -j ACCEPT
Nachdem ich diese Regel geladen hatte, lief der Internetzugang an meinem Gerät via LAN4 immer noch nicht. Die LOGS hierzu:
Code:
Apr 1 21:54:40 fritz kern.warn kernel: [IPT] DENY-FRITZ-ACCESS IN=dsl OUT= MAC= SRC=*.*.194.183 DST=192.168.178.1 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=30481 DF PROTO=TCP SPT=37826 DPT=80 WINDOW=14600 RES=0x00 SYN URGP=0
Warum sollte der Traffic vom und zum Gastnetz Zugriffe auf die Box selbst (INPUT) benötigen ? Da ich hier doch große Bedenken hatte (insbesondere bei dem Gedanken, Zugriff auf die Box vom DSL-Device freizugeben), habe ich das erst mal gelassen.
Hat zu diesem Mechanismus evtl. jemand eine Idee und/oder könnte mir einen Tip geben, wie man das Regelwerk an dieser Stelle besser gestalten kann ?
Spielt hier möglicherweise der berüchtigte PA wieder herein ?
Grüße,
JD.