[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: meine fw macht mich noch alle ... ;o)



Reinhold Plew schrieb:
Hi,

Marco Estrada Martinez wrote:
Hi @ all,

ich werd gleich wahnsinnig ... ;o) meine firewall auf meinem vserver...
ich versteh sie nicht mehr. Bitte helft mir weiter.

Das Problem ist eigentlich nur das bei laufender firewall keine dns mehr
geht. (habe einen dnsmasq laufen).

-- schnipp firewallscript

       echo -n "Starting Firewall "

       #################################################

       # delete any existing custom chains
       $IPT -F
       Result $?
       $IPT -X
       Result $?

       # Initialize and drop anything per default (in/out)
       $IPT -P INPUT DROP
       Result $?
       $IPT -P FORWARD DROP
       Result $?
       $IPT -P OUTPUT ACCEPT
       Result $?

       # Allow communication on localhost (in)
       $IPT -A INPUT  -i lo -j ACCEPT
       Result $?

       #################################################
       ####
       ####    INCOMING RULES
       ####
       #################################################

       # SSH
       $IPT -A INPUT -p tcp --dport 22  -j ACCEPT
       Result $?
       # HTTP
       $IPT -A INPUT -p tcp --dport 80  -j ACCEPT
       Result $?

       # HTTPS
       $IPT -A INPUT -p tcp --dport 443 -j ACCEPT
       Result $?

       # SMTP
       $IPT -A INPUT -p tcp --dport 25  -j ACCEPT
       Result $?

       # POP3S
       $IPT -A INPUT -p tcp --dport 995 -j ACCEPT
       Result $?

       # DNS
       $IPT -A INPUT -p tcp --dport 53 -j ACCEPT
       Result $?
       $IPT -A INPUT -p udp --dport 53 -j ACCEPT
       Result $?

       sleep 120
       $0 stop

       if(test $ERROR -eq 0) ; then
           echo "."
       else
           echo "FAILED"
       fi

       ;;

-- schnapp firewallscript

Steht da noch mehr drin?

Als Erklärung:
$IPT = `which iptables`
fkt. Result ist eine Function die mir am Ende 0 für alkle i.O. oder
nicht 0 für nicht OK zurück gibt. Sie setzt $ERROR.

Also wie gesagt alles geht ohne Fehlermeldungen. Nur DNS geht vom
vserver nicht mehr. Das heisst wenn ich mich per ssh verbinde und in der
Konsole nslookup google eingebe bekomme ich einen timeout.Refused. Das
hat zur folge das mein postfix keine Mails mehr relayen kann. Host not
found ...

was erzählt denn ein iptables -L?
Gehen denn überhaupt DNS Anfragen raus, wenn die FW läuft?
Könntest Du mit tcpdump oder entsprechenden LOG Einträgen
für iptables sehen.

Also iptables -L gibt nach starten der firewall folgendes aus

-- schnipp
Tabelle filter
Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source
destination
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0
0.0.0.0/0
   53  3956 ACCEPT     tcp  --  *      *       0.0.0.0/0
0.0.0.0/0           tcp dpt:22
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0
0.0.0.0/0           tcp dpt:80
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0
0.0.0.0/0           tcp dpt:443
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0
0.0.0.0/0           tcp dpt:25
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0
0.0.0.0/0           tcp dpt:995
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0
0.0.0.0/0           tcp dpt:53
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0
0.0.0.0/0           udp dpt:53

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source
destination

Chain OUTPUT (policy ACCEPT 28 packets, 2816 bytes)
 pkts bytes target     prot opt in     out     source
destination

-- schnapp

sieht doch eigentlich ganz gut aus, oder? Versteh ich nicht

THX Marco
Gruss
Reinhold



Attachment: smime.p7s
Description: S/MIME Cryptographic Signature


Reply to: