Re: iptables & ipsec - Schwääre Kost...?

To: debian-user-german@lists.debian.org
Subject: Re: iptables & ipsec - Schwääre Kost...?
From: Björn Schmidt <bj-schmidt@uni-paderborn.de>
Date: Sat, 30 Oct 2004 14:51:22 +0200
Message-id: <[🔎] 41838E4A.4040104@uni-paderborn.de>
In-reply-to: <[🔎] 200410292143.02757.linux@houdek.de>
References: <[🔎] 418238FF.4010806@uni-paderborn.de> <[🔎] 200410291741.49574.linux@houdek.de> <[🔎] 41827045.6050203@uni-paderborn.de> <[🔎] 200410292143.02757.linux@houdek.de>

Matthias Houdek wrote:

Hm. Es fehlt ein wenig Hintergrund, um mit den paar Schnipseln wasanfangen zu können. Vor allem weiß ich immer noch nicht, wo da IPSec mitim Spiel ist.


Gut. Ich habe eine funktionierende Firewall die im internen Netz alles erlaubt
was entweder NEW,RELATED oder ESTABLISHED als Status hat. Aktiviere ich
zusätzlich IPsec, dann haben alle TCP-Pakete die den Rechner verlassen wollen
den Status INVALID (das konnte ich gestern noch herausfinden).
Aktiviere ich NUR IPsec, funktioniert es natürlich auch.

Es hatten schon einige ähnliche Probleme:
 http://www.linuxforen.de/forums/showthread.php?t=157141

Jedoch haben alle das Problem mit aktivem Masquerading. Das habe ich aber nicht
aktiv. Ich habe (noch) einen ganz normalen Rechner nur mit eth0 und lo ohne
Forwarding o.ä. Ein/Ausgehende Verbindungen von/nach 192.168.1.0/24 laufen
ausschliesslich über IPsec.

Selbst mit dieser einfachen firewall bekomme ich keine Verbindung hin:

iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -m state --state INVALID -j LOG --log-prefix "INVALID StateINPUT "

iptables -A INPUT -m state --state INVALID -j DROP

iptables -A OUTPUT -m state --state INVALID -j LOG --log-prefix "INVALID StateOUTPUT "

iptables -A OUTPUT -m state --state INVALID -j DROP

iptables -A FORWARD -m state --state INVALID -j LOG --log-prefix "INVALID StateFORWARD "

iptables -A FORWARD -m state --state INVALID -j DROP

Im log steht dann:

Oct 30 14:40:18 gigabyte kernel: INVALID State OUTPUT IN= OUT=eth0SRC=192.168.1.2 DST=192.168.1.1 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=17523 DFPROTO=TCP SPT=34246 DPT=22 WINDOW=2372 RES=0x00 ACK PSH FIN URGP=0Oct 30 14:41:11 gigabyte kernel: INVALID State OUTPUT IN= OUT=eth0SRC=192.168.1.2 DST=192.168.1.1 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=17525 DFPROTO=TCP SPT=34246 DPT=22 WINDOW=2372 RES=0x00 ACK PSH FIN URGP=0


Ich bin am Rechner 192.168.1.2 eingeloggt und versuche eine ssh Verbindung zu
192.168.1.1 aufzubauen. Hoffe das sind jetzt ausreichend Informationen... ;)

--
Mit freundlichen Gruessen
Bjoern Schmidt

Reply to:

Follow-Ups:
- Re: iptables & ipsec - Schwääre Kost...?
  - From: Matthias Houdek <linux@houdek.de>

References:
- iptables & ipsec - Schwääre Kost...?
  - From: Björn Schmidt <bj-schmidt@uni-paderborn.de>
- Re: iptables & ipsec - Schwääre Kost...?
  - From: Matthias Houdek <linux@houdek.de>
- Re: iptables & ipsec - Schwääre Kost...?
  - From: Björn Schmidt <bj-schmidt@uni-paderborn.de>
- Re: iptables & ipsec - Schwääre Kost...?
  - From: Matthias Houdek <linux@houdek.de>

Prev by Date: Treiber gefunden, was nun?
Next by Date: Re: viavoice
Previous by thread: Re: iptables & ipsec - Schwääre Kost...?
Next by thread: Re: iptables & ipsec - Schwääre Kost...?
Index(es):
- Date
- Thread