[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [Debian] 2 Firewall-Fragen

On Fre, Feb 09, 2001 at 01:16:45 +0100, Ulrich Wiederhold wrote:
> Hallo,
> nach weiteren Stunden probieren und lesen...
> 
> * Heiko Schlittermann <heiko@schlittermann.de> [010208 16:43]:
> 1.> Dann logging einschalten, da siehst Du am besten, wo's haengt.
> 
> Wie? Gerade diesen Teil verstehe ich in der Manpage nicht.
> Sieht so aus, als ob LOG eine Target Extension sein soll, aber iptables
> -m tos -h gibt nicht mehr infos darüber.
> 
> Wie schalte ich das am besten ein?
Mach Dir eine neue Chain, die zunaechst alles logged und dann dropped.
Und statt DROP als Target der 'normalen' Rules gibst Du dann diese Chain an.

z.b.:

$IPTABLES -F droplog
$IPTABLES -X droplog
$IPTABLES -N droplog
$IPTABLES -A droplog -j LOG
$IPTABLES -A droplog -j DROP
[...]

# localhost spoofing protection
$IPTABLES -A INPUT -s 127.0.0.1/255.0.0.0 -i ! lo -j droplog

 
> Dann muß ich wohl noch so Sachen wie SMPT, POP3, HTTP usw.
> freischalten...
> 2.Folgender Kontext:
> 
> # Erlaubt smtp auf SMTPPORT
> iptables -A INPUT -m state --state NEW -i $EXTERNES_INTERFACE -p tcp -s
> $SMTP_SERVER --sport $SMTPPORT --dport $UNPRIVPORTS -j ACCEPT
> 
> SMTP_SERVER="smtprelay.t-online.de"
> 
> Da bekomme ich folgende Fehlermeldung:
> iptables v1.2: host/network `smtprelay.t-online.de' not found
> 
> Wieso das? Der Server existiert doch?

Wahrscheinlich blockierst Du DNS-Abfragen, bzw. die Regeln, die DNS zulassen, 
kommen erst spaeter. Erlaube die DNS-Abfragen als allererstes (output _und_ input)
bevor Du irgendwelche Regeln benutzt, die auf Hostnamen matchen.

btw: Die Regel ist IMHO unötig. der Mailrelayserver von T-Online wird nie
von sich aus eine Verbindung auf einen Highport aufmachen.
Du versuchst aber, genau das zu erlauben. Vielleicht meinst Du: 

iptables -A INPUT -m state --state ESTABLISHED -i $EXTERNES_INTERFACE -p tcp
-s $SMTP_SERVER --sport $SMTPPORT --dport $UNPRIVPORTS -j ACCEPT

Aber eigentlich brauchst Du kein Stateful-Filtering, wenn Du fuer jede mögliche
Verbindung das angibst. Ein 'iptables -A INPUT -m state --state ESTABLISHED,RELATED -i 
$EXTERNES_INTERFACE -j ACCEPT' sollte das alles erschlagen, und nur eine Verbindung
von aussen zulassen, wenn Dein Rechner sie von innen begonnen hat. 
 
> 3.Folgende Ausgabe kann ich keiner Zeile zuordnen:
> iptables v1.2: invalid TCP port/service `--dport' specified
> 
> Wie kann ich den Fehler einkreisen?


mach mal ein iptables -L und vergleiche die aktiven Regeln mit denen in Deinem
Script. diejenigen, die fehlen, sind wahrscheinlich das problem.


Gruß Jörg

--
-----------------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie bitte eine
E-Mail an debian-user-de-request@lehmanns.de die im Subject
"unsubscribe <deine_email_adresse>" enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@Lehmanns.de
-----------------------------------------------------------

672 eingetragene Mitglieder in dieser Liste.
Reply to: