Re: Firewall

To: debian-user-german@lists.debian.org
Subject: Re: Firewall
From: Jens Zechlin <jens.zechlin@web.de>
Date: Wed, 27 Nov 2002 15:52:38 +0100
Message-id: <[🔎] 20021127155238.162303ec.jens.zechlin@web.de>
In-reply-to: <[🔎] 001f01c2961d$89a62420$0a00a8c0@phantom>
References: <[🔎] 001f01c2961d$89a62420$0a00a8c0@phantom>

Hallo Michael,

On Wed, 27 Nov 2002 15:01:46 +0100
"Michael Langer" <mphantom@gmx.net> wrote:

> ich habe mir ein Paketfilter mit iptables geschrieben!
> Nun habe ich das Problem, daß weder mein Router noch
> irgend ein Rechner aus dem Netzwerk ins Internet kann!
> Kann mir jemand sagen wo ich einen denk Fehler habe
> so das ich versuchen kann diesen zu beheben?

Hmm, ich habe das Skript zwar nicht komplett analysiert, aber mir
scheint, dass da nicht alles abgearbeitet wird, bzw. Fehler dazu
fuehren, das einige Regeln nicht vorhanden sind.
Als Beispiel wird der Befehl

$IPTABLES -A bad_tcp_pakets -p tcp ! --syn -m state NEW -j LOG\
	    --log-prefix "New not syn" --log-level 9

gar nicht ausgefuehrt, da die Chain bad_tcp_pakets naemlich leer ist :-(

Bei der Ausgabe von iptables -L ist klar, dass du keinen Rechner im
Internet erreichen kannst:

> Chain INPUT (policy DROP)
> target     prot opt source               destination         
> bad_tcp_packets  tcp  --  anywhere             anywhere           
> ACCEPT     all  --  anywhere             anywhere           
> ACCEPT     all  --  anywhere           p3EE3BF4C.dip.t-dialin.netstate
> RELATED,ESTABLISHED 

hier muessten viel mehr Regeln stehen. Ausserdem macht dies so keinen
Sinn, denn es werden hier *ALLE* ankommenden Pakete akzeptiert.

> Chain FORWARD (policy DROP)
> target     prot opt source               destination         
> bad_tcp_packets  tcp  --  anywhere             anywhere           
> ACCEPT     tcp  --  anywhere             192.168.0.10       tcp
> dpt:6699 
> ACCEPT     udp  --  anywhere             192.168.0.10       udp
> dpt:6257 

Hier werden nur Pakete an den TCP-Port 6699 und den UDP-Port
6257 akzeptiert.

> Chain OUTPUT (policy DROP)
> target     prot opt source               destination         
> bad_tcp_packets  tcp  --  anywhere             anywhere           
> ACCEPT     all  --  localhost            anywhere           
> ACCEPT     all  --  192.168.0.1          anywhere           
> ACCEPT     all  --  p3EE3BF4C.dip.t-dialin.net  anywhere         

Und hier werden nur Pakete an localhost, 192.168.0.1 und an die Adresse
deines ppp-Interfaces -> es geht nichts raus.

Da musst Du wohl noch einiges an dem Skript ueberarbeiten. Lass es doch
mal 'von Hand' laufen und schau dir die Fehlermeldungen an.

Gruss
 Jens

Reply to:

References:
- Firewall
  - From: "Michael Langer" <mphantom@gmx.net>

Prev by Date: Re: Quota-Warnmail verändern
Next by Date: Re: Ein frage zu C++ unter Linux/Debian
Previous by thread: Firewall
Next by thread: Re: Firewall
Index(es):
- Date
- Thread