Re: iptables & ipsec - Schwääre Kost...?

To: debian-user-german@lists.debian.org
Subject: Re: iptables & ipsec - Schwääre Kost...?
From: Matthias Houdek <linux@houdek.de>
Date: Sat, 30 Oct 2004 16:38:49 +0200
Message-id: <[🔎] 200410301638.50420.linux@houdek.de>
In-reply-to: <[🔎] 41838E4A.4040104@uni-paderborn.de>
References: <[🔎] 418238FF.4010806@uni-paderborn.de> <[🔎] 200410292143.02757.linux@houdek.de> <[🔎] 41838E4A.4040104@uni-paderborn.de>

Am Samstag, 30. Oktober 2004 14:51 schrieb Björn Schmidt:
> Matthias Houdek wrote:
> > Hm. Es fehlt ein wenig Hintergrund, um mit den paar Schnipseln was
> > anfangen zu können. Vor allem weiß ich immer noch nicht, wo da IPSec
> > mit im Spiel ist.
>
> Gut. Ich habe eine funktionierende Firewall die im internen Netz alles
> erlaubt was entweder NEW,RELATED oder ESTABLISHED als Status hat.
> Aktiviere ich zusätzlich IPsec, dann haben alle TCP-Pakete die den
> Rechner verlassen wollen den Status INVALID (das konnte ich gestern
> noch herausfinden). Aktiviere ich NUR IPsec, funktioniert es natürlich
> auch.
>
> Es hatten schon einige ähnliche Probleme:
>   http://www.linuxforen.de/forums/showthread.php?t=157141
>
> Jedoch haben alle das Problem mit aktivem Masquerading. Das habe ich
> aber nicht aktiv. Ich habe (noch) einen ganz normalen Rechner nur mit
> eth0 und lo ohne Forwarding o.ä. Ein/Ausgehende Verbindungen von/nach
> 192.168.1.0/24 laufen ausschliesslich über IPsec.
>
> Selbst mit dieser einfachen firewall bekomme ich keine Verbindung hin:
>
> iptables -F
> iptables -P INPUT DROP
> iptables -P OUTPUT DROP
> iptables -P FORWARD DROP
>
> iptables -A INPUT -i lo -j ACCEPT
> iptables -A OUTPUT -o lo -j ACCEPT
>
> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
>
> iptables -A INPUT -m state --state INVALID -j LOG --log-prefix "INVALID
> State INPUT "
> iptables -A INPUT -m state --state INVALID -j DROP
> iptables -A OUTPUT -m state --state INVALID -j LOG --log-prefix
> "INVALID State OUTPUT "
> iptables -A OUTPUT -m state --state INVALID -j DROP
> iptables -A FORWARD -m state --state INVALID -j LOG --log-prefix
> "INVALID State FORWARD "
> iptables -A FORWARD -m state --state INVALID -j DROP

Ja, gut, das ist doch aber nicht alles. Wer darf denn neue Verbindungen 
aufbauen? So kann nix gehen.

> Im log steht dann:
> Oct 30 14:40:18 gigabyte kernel: INVALID State OUTPUT IN= OUT=eth0
> SRC=192.168.1.2 DST=192.168.1.1 LEN=52 TOS=0x00 PREC=0x00 TTL=64
> ID=17523 DF PROTO=TCP SPT=34246 DPT=22 WINDOW=2372 RES=0x00 ACK PSH FIN
> URGP=0 

Jo, da fehlt ja auch die Hälfte. Außerdem - wieso FIN?

> Oct 30 14:41:11 gigabyte kernel: INVALID State OUTPUT IN= 
> OUT=eth0 SRC=192.168.1.2 DST=192.168.1.1 LEN=52 TOS=0x00 PREC=0x00
> TTL=64 ID=17525 DF PROTO=TCP SPT=34246 DPT=22 WINDOW=2372 RES=0x00 ACK
> PSH FIN URGP=0

Dito

> Ich bin am Rechner 192.168.1.2 eingeloggt und versuche eine ssh
> Verbindung zu 192.168.1.1 aufzubauen. Hoffe das sind jetzt ausreichend
> Informationen... ;)

Die Firewall läuft auf 192.168.1.2 ?

Was soll IPSec machen (Tunnel von wo nach wo?)?

-- 
Gruß
  MaxX
Hinweis: PMs an diese Adresse werden automatisch vernichtet (Filter 
nach /dev/null).

Reply to:

Follow-Ups:
- Re: iptables & ipsec - Schwääre Kost...?
  - From: Björn Schmidt <bj-schmidt@uni-paderborn.de>

References:
- iptables & ipsec - Schwääre Kost...?
  - From: Björn Schmidt <bj-schmidt@uni-paderborn.de>
- Re: iptables & ipsec - Schwääre Kost...?
  - From: Matthias Houdek <linux@houdek.de>
- Re: iptables & ipsec - Schwääre Kost...?
  - From: Björn Schmidt <bj-schmidt@uni-paderborn.de>

Prev by Date: Re: script gesucht: Zellen aus html tabelle auslesen
Next by Date: Re: script gesucht: Zellen aus html tabelle auslesen
Previous by thread: Re: iptables & ipsec - Schwääre Kost...?
Next by thread: Re: iptables & ipsec - Schwääre Kost...?
Index(es):
- Date
- Thread