Re: iptables

To: debian-user-german@lists.debian.org
Subject: Re: iptables
From: Martin Röhricht <roehricht@ira.uka.de>
Date: Mon, 29 Nov 2004 10:59:37 +0100
Message-id: <[🔎] 1101722377.4189.43.camel@Moe>
In-reply-to: <[🔎] 20041128191757.GA7774@kaufbach.delug.de>
References: <[🔎] 1101661149.4794.24.camel@Moe> <[🔎] 20041128191757.GA7774@kaufbach.delug.de>

Am Sonntag, den 28.11.2004, 20:17 +0100 schrieb Andreas Kretschmer:
> am  Sun, dem 28.11.2004, um 17:59:08 +0100 mailte Martin Röhricht folgendes:
> > Ich habe hier Kernel 2.6.8.1 am Laufen, selbst zusammengestellt. Ich
> > habe in die config geschaut aber nichts ließ mich auf eine Option zu
> > iptables schließen. Was kann ich tun?
> 
> Es fehlt ganz einfach die Unterstützung für netfilter im kernel. Schau
> noch mal genau nach.

Oh, Tatsache: 
# CONFIG_NETFILTER is not set
Werde das wohl bei meinem nächsten Kernel mit einbauen.

> > Kollege kann nicht auf seinen Netzwerkdrucker zugreifen bei aktivierter
> > SuSE Firewall. Ich versuchte ihm zu helfen, also erstmal "iptables
> 
> SuSE-FW ist, sorry, Schrott.

Naja, ich versuche ja nur da zu helfen. Kann also nichts weiteres dazu
sagen, außer das die resultierende Tabelle seeeehr ausführlich ausfällt.

> > -F" (dann funktioniert das Drucken). Dann wollte ich eine Firewall
> > nachbilden nach dem Grundsatz erstmal alles verbieten und dann nach und
> > nach Ports freigeben. Ich habe die Ports 80, 22, 515, 631, 161, 443 für
> > INPUT und OUTPUT freigegeben, aber es funktioniert noch nicht. Jetzt
> > hätte ich zwei Verständnisfragen.
> > Erstmal: Welche Richtung muss ich denn für sowas freigeben? INPUT,
> > OUTPUT oder gar FORWARD?
> 
> Je nachdem, wo der Drucker ist.
> 
> INPUT: ein anderer Rechner will an einem Drucker drucken, der lokal
>        hängt.
> OUTPUT: Du willst woanders drucken
> FORWARD: Dein Rechner fungiert als Router.
> 
> Beachte: Kommunikation geht in beide Richtungen, und beachte, was Ziel-
> und was Sourceport ist. Hint: iptables kann stateful arbeiten. Nutze
> das, ist eine wesentliche Hilfe.

Okay, mittlerweile haben wir wohl herausgefunden, dass es eben sowohl um
INPUT, wie auch um OUTPUT geht und die SuSE Firewall eine Kette erstellt
hat, welche INVALID INPUTs blockt, die wohl aber von diesem Drucker aus
geschickt werden.

> > Zweitens: Kann man so loggen, dass man auch REJECTs in
> > seine /var/log/messages geschrieben bekommt? Die Idee wäre, alles zu
> 
> Ja. Wenn man vor dem REJECT loggt.

Das klappt.

> > REJECTen und dann einen Druckbefehl rauszulassen, um mit tail
> > -f /var/log/messages zu sehen, ob sich was tut, bzw. welcher Port
> > erwünscht wird.
> 
> Welche Ports eine Rolle spielen, hängt vom Drucksystem ab. LPR: 515,
> CUPS: 631. Das sind die Ports des Servers, die Clients haben andere
> Ports. Ich vermute, das hast Du noch nicht ganz verstanden.

Naja, ist auch irgendwie etwas verwirrend, weil die Kommunikation ja
dann doch wieder in beide Richtungen geht. Auf jeden Fall scheint es bei
unserem Problem nur um Port 80 zu gehen, was ja wiederum klar ist, weil
es ein Netzwerkdrucker ist.
Tut mir leid für meine Unwissenheit -- habe halt doch zu selten was in
diesem Bereich zu tun.

Danke für die Hilfe.

Martin

Reply to:

Follow-Ups:
- Re: iptables
  - From: Andreas Kretschmer <andreas.kretschmer@schollglas.com>
- Re: iptables
  - From: Christian Schmidt <christian.schmidt@chemie.uni-hamburg.de>

References:
- iptables
  - From: Martin Röhricht <roehricht@ira.uka.de>
- Re: iptables
  - From: Andreas Kretschmer <andreas_kretschmer@despammed.com>

Prev by Date: Re: mail
Next by Date: Suche sowas wie md5 aber nur 16-20 stellen ?
Previous by thread: Re: iptables
Next by thread: Re: iptables
Index(es):
- Date
- Thread