Re: Iptables Problem

To: Debian User List Deutsch <debian-user-german@lists.debian.org>
Subject: Re: Iptables Problem
From: Alexander Stielau <aleks@buug.de>
Date: Thu, 9 Jan 2003 15:47:30 +0100
Message-id: <[🔎] 20030109144730.GB1149@golem.bln.linux-ag.de>
Mail-followup-to: Debian User List Deutsch <debian-user-german@lists.debian.org>
Reply-to: aleks@buug.de
In-reply-to: <[🔎] 002401c2b7e8$73dcefb0$0206a8c0@shadow>
References: <[🔎] 002401c2b7e8$73dcefb0$0206a8c0@shadow>

Am Thu, Jan 09, 2003 at 03:07:32PM +0100 schrieb Christian Hüning:
>    Hi,
>     
>    Ich hab grade ein Problem mit meinem Iptablesscript.
>    (Hoffe mal dass das in diese Maillinglist passt)

Bitte schicke keine HTML-Mails an diese Liste. 
Danke.
     
>    Und zwar habe ich einen cyrus mailserver laufen und rufe e-mails per
>    fetchmail von
>    meinen web.de konten ab. Nun wird doch die Standart Policy immer ans Ende
>    eine
>    Tabelle gestellt (oder?), ich setze die Input Policy also auf DROP und

Eine Policy-Regel schlägt dann zu, wenn keine Regel matched.

>    splitte die 2 Interfaces,
>     die ich habe auf. Einmal fu:r Lan und einmal fu:rs Internet.
>    Lab bekommt unbeschra:nkten Zugriff und Internet hat folgende Regeln:
> 
>    /usr/sbin/iptables -A INPUT -i ppp0 --jump bad-in

Hier fehlt ein -N bad-in. Nur nicht gepastet, oder vergessen?
 
>    /usr/sbin/iptables -A bad-in -p tcp -m state --state RELATED,ESTABLISHED
>    -j ACCEPT
>    /usr/sbin/iptables -A bad-in -p udp -m state --state RELATED,ESTABLISHED
>    -j ACCEPT
>    /usr/sbin/iptables -A bad-in -p tcp --dport domain -j ACCEPT

Warum sollte jemand von aussen bei Dir DNS-Abfragen machen dürfen?

>    /usr/sbin/iptables -A bad-in -p udp --dport pop3 -j ACCEPT
>    /usr/sbin/iptables -A bad-in -p tcp --dport pop3 -j ACCEPT
>    /usr/sbin/iptables -A bad-in -p tcp --dport www -j ACCEPT
>    /usr/sbin/iptables -A bad-in -p tcp --dport https -j ACCEPT

Die gleiche Frage wie oben stellt sich auch bei diesen vier Regeln.
Bietest Du tatsächlich einen pop3-Server nach draußen an und einen
Webserver?

Wenn Du aus dem internen Netz von web.de Mail abholen willst, brauchst
Du diese Regel nicht, dito zum Surfen.

>    /usr/sbin/iptables -A bad-in --jump DROP
> 
>    Ist nun also Input Policy auf DROP kann ich auf dem Linux Rechner nicht
>    mehr surfen (w3m) und

Ich sehe hier keine Policy.

Policys setzt man mit iptables -P Kettenname Sprungziel.
Wenn Du wissen willst, welche Policies bei Dir gesetzt sind, kannst Du
das mit 

,--------
| iptables -L -n | grep policy 
`--------

rausfinden.

>    der Windows Client kann keine Mails mehr empfangen und komischerweise auch
>    nicht senden...

Das hat damit sehr wahrscheinlich nix zu tun, was macht dein
Masquerading?

,--------
| iptables -L -n -t nat
`--------


Hmm. Das oben klingt alles ziemlich wirr, vielleicht siehst Du Dir mal 
http://www.buug.de/~aleks/iptables/Readme und die dortliegenden Skripte 
an, bevor Du Dir richtig in den Fuss schiesst. 

Danach sollten die Konzepte klar sein, und Du bastelst Dir dann was
eigenes, sinnvolles, oder Du nimmst einfach mein Skript. ;-)

Aleks

Reply to:

References:
- Iptables Problem
  - From: Christian Hüning <christian.huening@web.de>

Prev by Date: python pyncurses
Next by Date: Re: md5sum howto?
Previous by thread: Iptables Problem
Next by thread: Re: Iptables Problem
Index(es):
- Date
- Thread