Re: meine fw macht mich noch alle ... ;o)
Hi,
Marco Estrada Martinez wrote:
> Hi @ all,
>
> ich werd gleich wahnsinnig ... ;o) meine firewall auf meinem vserver...
> ich versteh sie nicht mehr. Bitte helft mir weiter.
>
> Das Problem ist eigentlich nur das bei laufender firewall keine dns mehr
> geht. (habe einen dnsmasq laufen).
>
> -- schnipp firewallscript
>
> echo -n "Starting Firewall "
>
> #################################################
>
> # delete any existing custom chains
> $IPT -F
> Result $?
> $IPT -X
> Result $?
>
> # Initialize and drop anything per default (in/out)
> $IPT -P INPUT DROP
> Result $?
> $IPT -P FORWARD DROP
> Result $?
> $IPT -P OUTPUT ACCEPT
> Result $?
>
> # Allow communication on localhost (in)
> $IPT -A INPUT -i lo -j ACCEPT
> Result $?
>
> #################################################
> ####
> #### INCOMING RULES
> ####
> #################################################
>
> # SSH
> $IPT -A INPUT -p tcp --dport 22 -j ACCEPT
> Result $?
> # HTTP
> $IPT -A INPUT -p tcp --dport 80 -j ACCEPT
> Result $?
>
> # HTTPS
> $IPT -A INPUT -p tcp --dport 443 -j ACCEPT
> Result $?
>
> # SMTP
> $IPT -A INPUT -p tcp --dport 25 -j ACCEPT
> Result $?
>
> # POP3S
> $IPT -A INPUT -p tcp --dport 995 -j ACCEPT
> Result $?
>
> # DNS
> $IPT -A INPUT -p tcp --dport 53 -j ACCEPT
> Result $?
> $IPT -A INPUT -p udp --dport 53 -j ACCEPT
> Result $?
>
> sleep 120
> $0 stop
>
> if(test $ERROR -eq 0) ; then
> echo "."
> else
> echo "FAILED"
> fi
>
> ;;
>
> -- schnapp firewallscript
Steht da noch mehr drin?
> Als Erklärung:
> $IPT = `which iptables`
> fkt. Result ist eine Function die mir am Ende 0 für alkle i.O. oder
> nicht 0 für nicht OK zurück gibt. Sie setzt $ERROR.
>
> Also wie gesagt alles geht ohne Fehlermeldungen. Nur DNS geht vom
> vserver nicht mehr. Das heisst wenn ich mich per ssh verbinde und in der
> Konsole nslookup google eingebe bekomme ich einen timeout.Refused. Das
> hat zur folge das mein postfix keine Mails mehr relayen kann. Host not
> found ...
was erzählt denn ein iptables -L?
Gehen denn überhaupt DNS Anfragen raus, wenn die FW läuft?
Könntest Du mit tcpdump oder entsprechenden LOG Einträgen
für iptables sehen.
Gruss
Reinhold
Reply to: