# iptables - routing



## samtech (26. November 2006)

Hy,

Ich habe ein Problem. Kurzbeschreibung:
Linux Debian sarge, OpenVPN Server in tap bridges Modus soll auf OpenVPN Client zugreifen (bestimmte ports). Folgendes der OpenVPN Client kommt ins Internet über firewall (bridge einseitig) -- iptables -m physdev ......
Der openvpn Server kommt auch ins internet. Der OpenVPN Client (defaultroute über OpenVPN Server als GW) kann auf den OpenVPN Server zugreifen (z. B. über SSH), aber nicht umgekehrt. Der OpenVPN Server kann nicht auf den Client zugreifen, Grund routing defaultroute über OpenVPN Server. Ich kann dies jedoch nicht ändern, stattdessen habe ich eine andere Lösung gefunden:
Netzwerkkonfiguration: br0 (mit fester öffentl. IP) <-- eth0 und tap0 gebridged
Ich habe ein zweite IP Adresse den tap0 interface zugewiesen (tap0:1) im privaten
netzbereich.
Mit dieser Adresse kann ich ein Ping setzten auf den Client (ping -I ....) oder auch ein telnet
über port 25 (telnet -s).
Jetzt möchte ich über Prerouting / Postrouting mit iptables verwirklichen:
Sobald von localhost (127.0.0.1 oder ip des öffentl.) an die Zieladresse auf den Port 25 oder
icmp gesendet wird, soll nur über diese Adresse (tap0:1) gesendet werden, nicht über das
Interface.
Ein Routing über die routing tabelle ist nicht möglich, das dies Interface gebunden ist, und es
würde ein bridge mehr funktionieren.

Es ist sehr wichtig, das der OpenVPN Client über die bridge direkt ins internet kommt, nicht über routing. Dagegen soll der OpenVPN Server auf den Client zugreifen können.

Wie kann ich es konfigurieren, über iptables, sobald von localhost an Ziel-IP gesendet wird, das er nur von einer IP Adresse sendet. Ist das überhaupt möglich?

Besten Dank!!
Viele Grüße


Markus


----------

