Re: mal wieder iptables ... ;)
On 11.05.2010 23:31, Marco Estrada Martinez wrote:
> Am 11.05.2010 20:31, schrieb klaus zerwes:
>> On 05/11/2010 06:40 PM, Marco Estrada Martinez wrote:
>>> Hi @ all,
>>>
>>> alarm alarm ;) firewall schmeisst schon seit x Tagen nen Fehler ;)
>>
>> Komisch - meine FW-Rules tun so was ungezogenes nicht.
>> Schlimmstenfalls funktionieren sie nicht oder nicht so wie erwartet,
>> aber Fehler durch die Gegend schmeißen ... Tststs
>
> Hat sie ja auch, aber da ich meinen lapi immer nur einschlafen lasse is
> mir der fehler beim starten garnicht aufgefallen ;)
>
>>
>>> MY_REJECT-Kette ist definiert scheint irgend wie am -j LOG zu liegen?
>>> Was mache ich falsch?
>>>
>>> $IPTABLES -A MY_REJECT -p udp -m limit --limit 5/s -j LOG --log-prefix
>>> "REJECT UDP "
>>
>> Die rule scheint IMHO zumindest syntaktisch OK.
>>
>> iptables -L -n -v
>
> bringt ...
>
> Chain INPUT (policy DROP 0 packets, 0 bytes)
> pkts bytes target prot opt in out source
> destination
> 142 3976 DROP all -- * * 0.0.0.0/0
> 224.0.0.1
> 4 160 DROP all -- * * 0.0.0.0/0
> 0.0.0.0/0 state INVALID
> 0 0 MY_DROP tcp -- * * 0.0.0.0/0
> 0.0.0.0/0 tcp flags:0x3F/0x00
> 0 0 MY_DROP tcp -- * * 0.0.0.0/0
> 0.0.0.0/0 tcp flags:0x03/0x03
> 0 0 MY_DROP tcp -- * * 0.0.0.0/0
> 0.0.0.0/0 tcp flags:0x06/0x06
> 0 0 MY_DROP tcp -- * * 0.0.0.0/0
> 0.0.0.0/0 tcp flags:0x05/0x05
> 0 0 MY_DROP tcp -- * * 0.0.0.0/0
> 0.0.0.0/0 tcp flags:0x11/0x01
> 0 0 MY_DROP tcp -- * * 0.0.0.0/0
> 0.0.0.0/0 tcp flags:0x18/0x08
> 0 0 MY_DROP tcp -- * * 0.0.0.0/0
> 0.0.0.0/0 tcp flags:0x30/0x20
-p tcp -j MY_DROP -> von dort dann die flag selection, wenn es denn sein
muß... ansonsten ineffizient, da alle nicht tcp packete diese regeln
durchlaufen werden.
> 71 9132 ACCEPT all -- lo * 0.0.0.0/0
> 0.0.0.0/0
> 47378 39M ACCEPT all -- * * 0.0.0.0/0
> 0.0.0.0/0 state RELATED,ESTABLISHED
> 0 0 ACCEPT tcp -- wlan0 * 0.0.0.0/0
> 0.0.0.0/0 state NEW tcp dpt:22
> 0 0 ACCEPT tcp -- wlan0 * 0.0.0.0/0
> 0.0.0.0/0 state NEW tcp dpt:10050
> 0 0 ACCEPT tcp -- wlan0 * 0.0.0.0/0
> 0.0.0.0/0 state NEW tcp dpt:24800
> 0 0 ACCEPT tcp -- wlan0 * 0.0.0.0/0
? multiport ? und aus drei mach eins.
> 0.0.0.0/0 state NEW,RELATED,ESTABLISHED tcp spt:8080
> 0 0 ACCEPT icmp -- * * 0.0.0.0/0
> 0.0.0.0/0 state NEW icmp type 8
> 0 0 MY_REJECT all -- * * 0.0.0.0/0
> 0.0.0.0/0
>
[...]
> man sieht, das MY_REJECT eigentlich bekannt seinen sollte ????
Wie sehen dein script nicht also könnte es sein, dass du die 'chain' zu
spät erstellst (aber das nehme ich eigentlich nicht an)?
>
>> lsmod | grep ip
>
> Bringt ...
>
> ipt_LOG 7920 0
> ipt_MASQUERADE 1910 24
> iptable_mangle 2093 0
> iptable_filter 1574 1
> ipt_REJECT 3065 3
> iptable_nat 5459 1
> nf_nat 20377 2 ipt_MASQUERADE,iptable_nat
> nf_conntrack_ipv4 12876 15 iptable_nat,nf_nat
> nf_defrag_ipv4 1348 1 nf_conntrack_ipv4
> nf_conntrack 72969 5
> xt_state,ipt_MASQUERADE,iptable_nat,nf_nat,nf_conntrack_ipv4
> ip_tables 15897 3 iptable_mangle,iptable_filter,iptable_nat
>
> Sollten eigentlich alle benötigten Module gelaDEN SEIN ???
>
> aso kernelversion 3.6.32.11
>
kernel zu neu :-p
>
>>
>>> ipt_LOG ist geladen ...
>>>
>>> Als Error kommt dann ...
>>>
>>> -- schnipp STDERR
>>>
>>> iptables: No chain/target/match by that name.
>>
>> klingt als ob MY_REJECT nicht vorhanden wäre ...
>>
xt_limit (ipt_limit) sehe ich nicht.
Eigentlich sollten die module aber bei Bedarf automatisch laden.
Vielleicht auch was mit dem module pfad?
Versuch mal zu isolieren.
$ipt -A MY_REJECT -p udp
$ipt -A INPUT -j LOG
etc... bis die fehlermeldung kommt.
Dann wüsstest du vielleicht welches modul probleme macht.
Mal weiter sehen
MfG
Mart
Reply to: