Re: iptables & ipsec - Schwääre Kost...?
Matthias Houdek wrote:
Hm. Es fehlt ein wenig Hintergrund, um mit den paar Schnipseln was
anfangen zu können. Vor allem weiß ich immer noch nicht, wo da IPSec mit
im Spiel ist.
Gut. Ich habe eine funktionierende Firewall die im internen Netz alles erlaubt
was entweder NEW,RELATED oder ESTABLISHED als Status hat. Aktiviere ich
zusätzlich IPsec, dann haben alle TCP-Pakete die den Rechner verlassen wollen
den Status INVALID (das konnte ich gestern noch herausfinden).
Aktiviere ich NUR IPsec, funktioniert es natürlich auch.
Es hatten schon einige ähnliche Probleme:
http://www.linuxforen.de/forums/showthread.php?t=157141
Jedoch haben alle das Problem mit aktivem Masquerading. Das habe ich aber nicht
aktiv. Ich habe (noch) einen ganz normalen Rechner nur mit eth0 und lo ohne
Forwarding o.ä. Ein/Ausgehende Verbindungen von/nach 192.168.1.0/24 laufen
ausschliesslich über IPsec.
Selbst mit dieser einfachen firewall bekomme ich keine Verbindung hin:
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state INVALID -j LOG --log-prefix "INVALID State
INPUT "
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A OUTPUT -m state --state INVALID -j LOG --log-prefix "INVALID State
OUTPUT "
iptables -A OUTPUT -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state INVALID -j LOG --log-prefix "INVALID State
FORWARD "
iptables -A FORWARD -m state --state INVALID -j DROP
Im log steht dann:
Oct 30 14:40:18 gigabyte kernel: INVALID State OUTPUT IN= OUT=eth0
SRC=192.168.1.2 DST=192.168.1.1 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=17523 DF
PROTO=TCP SPT=34246 DPT=22 WINDOW=2372 RES=0x00 ACK PSH FIN URGP=0
Oct 30 14:41:11 gigabyte kernel: INVALID State OUTPUT IN= OUT=eth0
SRC=192.168.1.2 DST=192.168.1.1 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=17525 DF
PROTO=TCP SPT=34246 DPT=22 WINDOW=2372 RES=0x00 ACK PSH FIN URGP=0
Ich bin am Rechner 192.168.1.2 eingeloggt und versuche eine ssh Verbindung zu
192.168.1.1 aufzubauen. Hoffe das sind jetzt ausreichend Informationen... ;)
--
Mit freundlichen Gruessen
Bjoern Schmidt
Reply to: