2e SSID Internet verkeer naar 1 adres - Netwerken

dinsdag 7 september 2010 18:01

Acties:

Topicstarter

Ik heb hierthuis een WRT54GL router met DD-WRT v24-sp2 firmware.
Deze router zendt 2 SSID's uit: een voor m'n privenetwerk en 1 waarmee ik wat aan het testen ben. M'n privé SSID (wl0) krijgt IP adressen in de range 192.168.1.0/24 en de test-SSID krijgt adressen in 192.168.2.0/24.
Momenteel heb ik dit in m'n firewall script staan waardoor de 2e SSID ook op internet kan:

code:

if [ "`nvram get wan_proto`" = "pppoe" ]; then
  wanif="`nvram get pppoe_ifname`"
else
  wanif="`nvram get wan_ifname`"
fi

# Make sure br1 has access to the internet:
iptables -I INPUT -i br1 -m state --state NEW -j logaccept
iptables -I FORWARD -i br1 -o $wanif -m state --state NEW -j ACCEPT

# Keep the two wireless networks from talking to each other:
iptables -I FORWARD -i br0 -o br1 -j logdrop
iptables -I FORWARD -i br1 -o br0 -j logdrop

# Keep br1 from accessing the router:
iptables -I INPUT -i br1 -p tcp --dport telnet -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp --dport ssh -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp --dport www -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp --dport https -j REJECT --reject-with tcp-reset

br0 is privé SSID en ethernet. br1 is de test-SSID.

Nu zou ik graag willen dat alle internetverkeer op de test-SSID doorgestuurd wordt naar 1 IP adres. Ik dacht dit op te lossen door volgende regel toe te voegen:

code:

1	iptables -I PREROUTING -i br1 -p tcp -j DNAT --to-destination 209.85.135.104

Dit wijzigt echter niets aan de bestaande situatie. Ik heb het ook al geprobeert met de FORWARD chain, maar dat gaf ook geen resultaat.

Iemand die even een handje kan helpen?

vrijdag 17 september 2010 13:06

Acties:

NjitsSs

Topicstarter

Mag ik deze even een subtiel schopje geven? Mocht er een iptables expert in de zaal zijn dan hou 'k me nog steeds aanbevolen...

vrijdag 17 september 2010 14:28

Acties:

OverSoft

Hmh, ik ben zelf ook geen iptables expert, maar het lijkt er op dat je nu probeert om het verkeer te NATten naar een extern IP. Waarschijnlijk is dit geen IP dat in je directe netwerk ligt (oftewel je zal via twee of meerdere hops pas bij je bestemming uitkomen). Routers er tussen in gaan je DNAT netwerk vrolijk zitten filteren en die gaan dat niet begrijpen. Hier zul je een VPN tunneltje o.i.d. voor op moeten zetten.

Naar een intern IP (bijvoorbeeld op br0) is niet zo moeilijk en dan zou het op een dergelijke manier moeten werken.

zaterdag 18 september 2010 00:25

Acties:

NjitsSs

Topicstarter

Het was inderdaad de bedoeling om alles wat van dat 2e netwerk het internet op wilt te DNAT'n naar een ander extern IP.
Als ik echter wel kan DNAT'n naar een intern IP, dan kan ik in principe een simpele transparante proxy (Squid?) opzetten en daar al het verkeer door pompen?

zaterdag 18 september 2010 21:48

Acties:

OverSoft

Ik ben niet zo bekend met Squid, maar is dat geen HTTP proxy?
Ik zou zelf een VPN server/client opzetten (bijvoorbeeld OpenSwan of OpenVPN, is erg eenvoudig).
Als je de juiste kernel modules compileert krijg je een ipsec0 interfaces, waar je eenvoudig alle traffic overheen kunt routeren en aan de andere kant met tcpdump (of een andere trafficsniffer) alles kunt opvangen (dus niet alleen HTTP).