Am 11.05.2010 20:31, schrieb klaus zerwes:
On 05/11/2010 06:40 PM, Marco Estrada Martinez wrote:Hi @ all, alarm alarm ;) firewall schmeisst schon seit x Tagen nen Fehler ;)Komisch - meine FW-Rules tun so was ungezogenes nicht. Schlimmstenfalls funktionieren sie nicht oder nicht so wie erwartet, aber Fehler durch die Gegend schmeißen ... Tststs
Hat sie ja auch, aber da ich meinen lapi immer nur einschlafen lasse is mir der fehler beim starten garnicht aufgefallen ;)
MY_REJECT-Kette ist definiert scheint irgend wie am -j LOG zu liegen? Was mache ich falsch? $IPTABLES -A MY_REJECT -p udp -m limit --limit 5/s -j LOG --log-prefix "REJECT UDP "Die rule scheint IMHO zumindest syntaktisch OK. iptables -L -n -v
bringt ... Chain INPUT (policy DROP 0 packets, 0 bytes)pkts bytes target prot opt in out source destination 142 3976 DROP all -- * * 0.0.0.0/0 224.0.0.1 4 160 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID 0 0 MY_DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x00 0 0 MY_DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x03/0x03 0 0 MY_DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x06 0 0 MY_DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x05/0x05 0 0 MY_DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x11/0x01 0 0 MY_DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x18/0x08 0 0 MY_DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x30/0x20 71 9132 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 47378 39M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 0 0 ACCEPT tcp -- wlan0 * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 0 0 ACCEPT tcp -- wlan0 * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:10050 0 0 ACCEPT tcp -- wlan0 * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:24800 0 0 ACCEPT tcp -- wlan0 * 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED tcp spt:8080 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW icmp type 8 0 0 MY_REJECT all -- * * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy DROP 0 packets, 0 bytes)pkts bytes target prot opt in out source destination 0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID 0 0 MY_DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x00 0 0 MY_DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x03/0x03 0 0 MY_DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x06 0 0 MY_DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x05/0x05 0 0 MY_DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x11/0x01 0 0 MY_DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x18/0x08 0 0 MY_DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x30/0x20 0 0 ACCEPT all -- !wlan0 * 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED 0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 0 0 MY_REJECT all -- * * 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy DROP 0 packets, 0 bytes)pkts bytes target prot opt in out source destination 10 508 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID 71 9132 ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0 45496 7123K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED 0 0 MY_REJECT all -- * * 0.0.0.0/0 0.0.0.0/0
Chain MY_DROP (14 references)pkts bytes target prot opt in out source destination
Chain MY_REJECT (3 references)pkts bytes target prot opt in out source destination 0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 reject-with tcp-reset 0 0 REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable 0 0 DROP icmp -- * * 0.0.0.0/0 0.0.0.0/0 0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-proto-unreachable
man sieht, das MY_REJECT eigentlich bekannt seinen sollte ????
lsmod | grep ip
Bringt ... ipt_LOG 7920 0 ipt_MASQUERADE 1910 24 iptable_mangle 2093 0 iptable_filter 1574 1 ipt_REJECT 3065 3 iptable_nat 5459 1 nf_nat 20377 2 ipt_MASQUERADE,iptable_nat nf_conntrack_ipv4 12876 15 iptable_nat,nf_nat nf_defrag_ipv4 1348 1 nf_conntrack_ipv4nf_conntrack 72969 5 xt_state,ipt_MASQUERADE,iptable_nat,nf_nat,nf_conntrack_ipv4
ip_tables 15897 3 iptable_mangle,iptable_filter,iptable_nat Sollten eigentlich alle benötigten Module gelaDEN SEIN ??? aso kernelversion 3.6.32.11
können vielleicht etwas Licht in die beschlagenen Glaskugeln bringen
Hoffe das Glasputzzeug hilft uns weiter ;) Viele Grüße & Danke Marco
ipt_LOG ist geladen ... Als Error kommt dann ... -- schnipp STDERR iptables: No chain/target/match by that name.klingt als ob MY_REJECT nicht vorhanden wäre ...-- schnapp STDERR Wie immer vielen Dank für eure Hilfe. Viele Grüße MarcoKlaus
-- Softwareentwicklung / Software development Marco E. Martinez marco@marcomartinez.de www.marcomartinez.de funk: +49 (178) 731 55 53 Diese Mail ist digital unterschrieben, Sie ist nur gültig mit dem folgenden Fingerprint: This mail is digitally signed, it is only valid with the following Fingerprint: MD5-Fingerprint: F1:94:B5:4D:5C:7E:99:5E:7C:E9:AB:E9:E9:59:DC:68
Attachment:
smime.p7s
Description: S/MIME Cryptographic Signature