[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: mal wieder iptables ... ;)

Am 11.05.2010 20:31, schrieb klaus zerwes:

On 05/11/2010 06:40 PM, Marco Estrada Martinez wrote:

Hi @ all,

alarm alarm ;) firewall schmeisst schon seit x Tagen nen Fehler ;)
Komisch - meine FW-Rules tun so was ungezogenes nicht. Schlimmstenfalls funktionieren sie nicht oder nicht so wie erwartet, aber Fehler durch die Gegend schmeißen ... Tststs
Hat sie ja auch, aber da ich meinen lapi immer nur einschlafen lasse is mir der fehler beim starten garnicht aufgefallen ;) 




MY_REJECT-Kette ist definiert scheint irgend wie am -j LOG zu liegen?
Was mache ich falsch?

$IPTABLES -A MY_REJECT -p udp -m limit --limit 5/s -j LOG --log-prefix
"REJECT UDP "


Die rule scheint IMHO zumindest syntaktisch  OK.

iptables -L -n -v


bringt ...

Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination 142 3976 DROP all -- * * 0.0.0.0/0 224.0.0.1 4 160 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID 0 0 MY_DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x00 0 0 MY_DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x03/0x03 0 0 MY_DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x06 0 0 MY_DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x05/0x05 0 0 MY_DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x11/0x01 0 0 MY_DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x18/0x08 0 0 MY_DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x30/0x20 71 9132 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 47378 39M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 0 0 ACCEPT tcp -- wlan0 * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 0 0 ACCEPT tcp -- wlan0 * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:10050 0 0 ACCEPT tcp -- wlan0 * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:24800 0 0 ACCEPT tcp -- wlan0 * 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED tcp spt:8080 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW icmp type 8 0 0 MY_REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 

Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination 0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID 0 0 MY_DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x00 0 0 MY_DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x03/0x03 0 0 MY_DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x06 0 0 MY_DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x05/0x05 0 0 MY_DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x11/0x01 0 0 MY_DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x18/0x08 0 0 MY_DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x30/0x20 0 0 ACCEPT all -- !wlan0 * 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED 0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 0 0 MY_REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 

Chain OUTPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination 10 508 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID 71 9132 ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0 45496 7123K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED 0 0 MY_REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 

Chain MY_DROP (14 references)
pkts bytes target prot opt in out source destination 

Chain MY_REJECT (3 references)
pkts bytes target prot opt in out source destination 0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 reject-with tcp-reset 0 0 REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable 0 0 DROP icmp -- * * 0.0.0.0/0 0.0.0.0/0 0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-proto-unreachable 

man sieht, das MY_REJECT eigentlich bekannt seinen sollte ????


lsmod | grep ip


Bringt ...

ipt_LOG                 7920  0
ipt_MASQUERADE          1910  24
iptable_mangle          2093  0
iptable_filter          1574  1
ipt_REJECT              3065  3
iptable_nat             5459  1
nf_nat                 20377  2 ipt_MASQUERADE,iptable_nat
nf_conntrack_ipv4      12876  15 iptable_nat,nf_nat
nf_defrag_ipv4          1348  1 nf_conntrack_ipv4
nf_conntrack 72969 5 xt_state,ipt_MASQUERADE,iptable_nat,nf_nat,nf_conntrack_ipv4 
ip_tables              15897  3 iptable_mangle,iptable_filter,iptable_nat

Sollten eigentlich alle benötigten Module gelaDEN SEIN ???

aso kernelversion 3.6.32.11



können vielleicht etwas Licht in die beschlagenen Glaskugeln bringen


Hoffe das Glasputzzeug hilft uns  weiter ;)

Viele Grüße & Danke Marco




ipt_LOG ist geladen ...

Als Error kommt dann ...

-- schnipp STDERR

iptables: No chain/target/match by that name.


klingt als ob MY_REJECT nicht vorhanden wäre ...



-- schnapp STDERR

Wie immer vielen Dank für eure Hilfe.

Viele Grüße Marco


Klaus






--
Softwareentwicklung / Software development

Marco E. Martinez

marco@marcomartinez.de
www.marcomartinez.de

funk: +49 (178) 731 55 53

Diese Mail ist digital unterschrieben, Sie ist nur gültig mit dem folgenden Fingerprint:

This mail is digitally signed, it is only valid with the following Fingerprint:

MD5-Fingerprint: F1:94:B5:4D:5C:7E:99:5E:7C:E9:AB:E9:E9:59:DC:68

Attachment: smime.p7s
Description: S/MIME Cryptographic Signature

Reply to: