[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Iptables Problem



On Thu, Jan 09, 2003 at 03:07:32PM +0100, Christian Hüning wrote:
> Ich hab grade ein Problem mit meinem Iptablesscript.
> (Hoffe mal dass das in diese Maillinglist passt)

Klar, immer her damit.

> Und zwar habe ich einen cyrus mailserver laufen und rufe e-mails per
> fetchmail von meinen web.de konten ab.

Soweit klar.

> Nun wird doch die Standart Policy immer ans Ende eine Tabelle gestellt
> (oder?),

Verstehe ich nicht. Die Reihenfolge der Firewall-Regeln legst du selbst
fest. Oder meinst du damit, dass die letzte Regeln sinnvollerweise eine
DROP-Regel ist? Dann wuerde ich zustimmen.

> ich setze die Input Policy also auf DROP und splitte die 2 Interfaces,
> die ich habe auf. Einmal für Lan und einmal fürs Internet.

Du kannst auch als Parameter "-i" angeben, um festzulegen, welches
Interface diese Regel betreffen soll.

> Lab bekommt unbeschränkten Zugriff und Internet hat folgende Regeln:
> /usr/sbin/iptables -A INPUT -i ppp0 --jump bad-in

Das wuerde ich ueber "-i" machen.

> /usr/sbin/iptables -A bad-in -p tcp -m state --state
> RELATED,ESTABLISHED -j ACCEPT

Okay.

> /usr/sbin/iptables -A bad-in -p udp -m state --state
> RELATED,ESTABLISHED -j ACCEPT

Bei UDP kann es kein "established" geben.

> /usr/sbin/iptables -A bad-in -p tcp --dport domain -j ACCEPT

Wenn du keinen AXFR (DNS-Zone-Transfer) erlauben willst, solltest du
daraus lieber "udp" machen.

> /usr/sbin/iptables -A bad-in -p udp --dport pop3 -j ACCEPT

POP3 ueber UDP? Waere mir neu. Weg damit!

> /usr/sbin/iptables -A bad-in -p tcp --dport pop3 -j ACCEPT

Das wuerde bedeuten, dass die Leute bei *dir* Emails ueber POP3 abholen.
Das brauchst du nicht.

> /usr/sbin/iptables -A bad-in -p tcp --dport www -j ACCEPT

Damit erlaubst du Leuten Zugriff auf dem HTTP-Port bei dir. Willst du
das?

> /usr/sbin/iptables -A bad-in -p tcp --dport https -j ACCEPT

Dito fuer HTTPS.

> /usr/sbin/iptables -A bad-in --jump DROP

Die letzte Regel ist ansich okay. Wenn ich aber nichts uebersehen habe,
fehlt dir eine Regel, die die Pakete ueberhaupt ueber ppp0 ins Internet
erlaubt.

> Ist nun also Input Policy auf DROP kann ich auf dem Linux Rechner
> nicht mehr surfen (w3m) und der Windows Client kann keine Mails mehr
> empfangen und komischerweise auch nicht senden...  Ist wahrscheinlich
> irgendwas total Blödes aber was?

Ausserdem solltest du pruefen, ob du das Routing aktiviert hast:
"cat /proc/sys/net/ipv4/ip_forward"
Sollte "1" ausspucken.

Sorry, wenn meine Umlaute gerade Gruetze sind. Bin auf der Konsole.
Das entschuldigt aber nicht, dass deine Zeilen zu lang sind. Ja, ja, ich
weiss, Outlook. ;)

Alternativ kannst du uebrigens auch den "fwbuilder" benutzen, um die
Regeln zu erzeugen. Ist ein X-GUI-Frontend fuer iptables/netfilter und
ipchains.

 Christoph

-- 
The hardest part of installing Debian is to think of a hostname.

Attachment: pgpa_GMTFMFGT.pgp
Description: PGP signature


Reply to: