Reinhold Plew schrieb:
Hi, Marco Estrada Martinez wrote:Hi @ all, ich werd gleich wahnsinnig ... ;o) meine firewall auf meinem vserver... ich versteh sie nicht mehr. Bitte helft mir weiter. Das Problem ist eigentlich nur das bei laufender firewall keine dns mehr geht. (habe einen dnsmasq laufen). -- schnipp firewallscript echo -n "Starting Firewall " ################################################# # delete any existing custom chains $IPT -F Result $? $IPT -X Result $? # Initialize and drop anything per default (in/out) $IPT -P INPUT DROP Result $? $IPT -P FORWARD DROP Result $? $IPT -P OUTPUT ACCEPT Result $? # Allow communication on localhost (in) $IPT -A INPUT -i lo -j ACCEPT Result $? ################################################# #### #### INCOMING RULES #### ################################################# # SSH $IPT -A INPUT -p tcp --dport 22 -j ACCEPT Result $? # HTTP $IPT -A INPUT -p tcp --dport 80 -j ACCEPT Result $? # HTTPS $IPT -A INPUT -p tcp --dport 443 -j ACCEPT Result $? # SMTP $IPT -A INPUT -p tcp --dport 25 -j ACCEPT Result $? # POP3S $IPT -A INPUT -p tcp --dport 995 -j ACCEPT Result $? # DNS $IPT -A INPUT -p tcp --dport 53 -j ACCEPT Result $? $IPT -A INPUT -p udp --dport 53 -j ACCEPT Result $? sleep 120 $0 stop if(test $ERROR -eq 0) ; then echo "." else echo "FAILED" fi ;; -- schnapp firewallscriptSteht da noch mehr drin?Als Erklärung: $IPT = `which iptables` fkt. Result ist eine Function die mir am Ende 0 für alkle i.O. oder nicht 0 für nicht OK zurück gibt. Sie setzt $ERROR. Also wie gesagt alles geht ohne Fehlermeldungen. Nur DNS geht vom vserver nicht mehr. Das heisst wenn ich mich per ssh verbinde und in der Konsole nslookup google eingebe bekomme ich einen timeout.Refused. Das hat zur folge das mein postfix keine Mails mehr relayen kann. Host not found ...was erzählt denn ein iptables -L? Gehen denn überhaupt DNS Anfragen raus, wenn die FW läuft? Könntest Du mit tcpdump oder entsprechenden LOG Einträgen für iptables sehen.
Also iptables -L gibt nach starten der firewall folgendes aus -- schnipp Tabelle filter Chain INPUT (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 53 3956 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:25 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:995 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53 Chain FORWARD (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 28 packets, 2816 bytes) pkts bytes target prot opt in out source destination -- schnapp sieht doch eigentlich ganz gut aus, oder? Versteh ich nicht THX Marco
Gruss Reinhold
Attachment:
smime.p7s
Description: S/MIME Cryptographic Signature