IPTABLES und DSL

[mati0504]

Hallo!

Ich habe ein "kleines" Problem. Bei dem Script habe ich mit sicherheit ein Denfehler, weil die Verbindung ins Internet einfach nicht klappt. Ich verwende DSL (gerät dsl0 über die Netzwerkkarte eth1) und möchte eigentlich, daß die Geräte die im Lokalen Netz vorhanden sind sich einwählen können, aber nur WWW,ICQ, MESSENGER, MAIL usw. sollen erlaubt sein.. von Aussen nach Innen gar nichts.... die Wählverbindung funktioniert aber irgendwie nicht. es werden keine Pakete weitergeleitet

Kann sich bitte jemand mein Script durchlesen und den/die Fehler korrigieren???

Vielen Dank!
#!/bin/bash
### BEGIN INIT INFO
# Provides: IP-Paketfilter
# Required-Start: $network $local_fs
# Required-Stop: $local_fs
# Default-Start: 3 5
# Default-Stop: 0 1 2 4 6
### END INIT INFO
#

case "$1" in
start)
echo "Starte IP-Paketfilter"

# Alle Regeln loeschen
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X

/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_conntrack_irc
/sbin/modprobe iptable_nat
/sbin/modprobe ip_nat_ftp

# Logs
iptables -N LOGONLY
iptables -A LOGONLY -j LOG --log-prefix "IPTABLES packet log : " --log-tcp-options --log-tcp-sequence

--log-ip-options --log-level info
iptables -A LOGONLY -j ACCEPT

iptables -N LOGDROP
iptables -A LOGDROP -j LOG --log-prefix "IPTABLES packet kill: " --log-tcp-options --log-tcp-sequence

--log-ip-options --log-level info
iptables -A LOGDROP -j DROP

iptables -N UNKNOWNINPUT
iptables -A UNKNOWNINPUT -j LOG --log-prefix "IPTABLES unknown input: " --log-tcp-options

--log-tcp-sequence --log-ip-options --log-level info
iptables -A UNKNOWNINPUT -j DROP

iptables -N UNKNOWNFORWARD
iptables -A UNKNOWNFORWARD -j LOG --log-prefix "IPTABLES unknown forward: " --log-tcp-options

--log-tcp-sequence --log-ip-options --log-level info
iptables -A UNKNOWNFORWARD -j DROP

# Standard
# Pakete an lokale Prozesse
# Policy (Standardverhalten): Paket ververfen
iptables -P INPUT DROP

# Eingehende Pakete nur von innen oder wenn zu einer bestehenden verbindung
iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT
iptables -A INPUT -s 192.168.10.0/24 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Korrupte Pakete zurueckweisen
iptables -A INPUT -m state --state INVALID -j DROP

# MY_REJECT-Chain
iptables -N MY_REJECT

# MY_REJECT fuellen
iptables -A MY_REJECT -p tcp -j REJECT --reject-with tcp-reset
iptables -A MY_REJECT -p udp -j REJECT --reject-with icmp-port-unreachable
iptables -A MY_REJECT -p icmp -j DROP
iptables -A MY_REJECT -j REJECT --reject-with icmp-proto-unreachable

# MY_DROP-Chain
iptables -N MY_DROP
iptables -A MY_DROP -m limit --limit 7200/h -j LOG --log-prefix "PORTSCAN DROP "
iptables -A MY_DROP -j DROP

# Stealth Scans etc. DROPpen
# Keine Flags gesetzt
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j MY_DROP
iptables -A FORWARD -p tcp --tcp-flags ALL NONE -j MY_DROP

# SYN und FIN gesetzt
iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j MY_DROP
iptables -A FORWARD -p tcp --tcp-flags SYN,FIN SYN,FIN -j MY_DROP

# SYN und RST gleichzeitig gesetzt
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j MY_DROP
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN,RST -j MY_DROP

# FIN und RST gleichzeitig gesetzt
iptables -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j MY_DROP
iptables -A FORWARD -p tcp --tcp-flags FIN,RST FIN,RST -j MY_DROP

# FIN ohne ACK
iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j MY_DROP
iptables -A FORWARD -p tcp --tcp-flags ACK,FIN FIN -j MY_DROP

# PSH ohne ACK
iptables -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j MY_DROP
iptables -A FORWARD -p tcp --tcp-flags ACK,PSH PSH -j MY_DROP

# URG ohne ACK
iptables -A INPUT -p tcp --tcp-flags ACK,URG URG -j MY_DROP
iptables -A FORWARD -p tcp --tcp-flags ACK,URG URG -j MY_DROP

# Maximum Segment Size (MSS) fr das Forwarding an PMTU anpassen
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

# Syn-Flood-Schutz
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

# Stealthscans ignorieren
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j DROP
iptables -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j DROP
iptables -A INPUT -p tcp --tcp-flags ACK,URG URG -j DROP

# Pakete die geroutet werden loeschen
iptables -P FORWARD DROP
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Korrupte Pakete zurueckweisen
iptables -A FORWARD -m state --state INVALID -j DROP

# Nur HTTP, HTTPS, POP3, DNS und SMTP forwarden
# DNS FORWARD
iptables -A FORWARD -m udp -p udp --dport 53 -m state --state NEW -j ACCEPT
iptables -A FORWARD -m tcp -p tcp --dport 53 -m state --state NEW -j ACCEPT

# HTTP FORWARD
iptables -A FORWARD -m tcp -p tcp --dport 80 -m state --state NEW -j ACCEPT

# MESSENGER,ICQ USW. FORWARD
iptables -A FORWARD -m tcp -p tcp --dport 569 -m state --state NEW -j ACCEPT
iptables -A FORWARD -m udp -p udp --dport 1863 -m state --state NEW -j ACCEPT
iptables -A FORWARD -m tcp -p tcp --dport 1863 -m state --state NEW -j ACCEPT
iptables -A FORWARD -m tcp -p tcp --dport 5050 -m state --state NEW -j ACCEPT
iptables -A FORWARD -m tcp -p tcp --dport 5010 -m state --state NEW -j ACCEPT
iptables -A FORWARD -m tcp -p tcp --dport 4000 -m state --state NEW -j ACCEPT


#PORT 8080
iptables -A FORWARD -m tcp -p tcp --dport 8080 -m state --state NEW -j ACCEPT

# HTTPS FORWARD
iptables -A FORWARD -m tcp -p tcp --dport 443 -m state --state NEW -j ACCEPT

# POP3 FORWARD
iptables -A FORWARD -m tcp -p tcp --dport 110 -m state --state NEW -j ACCEPT

# SMTP FORWARD
iptables -A FORWARD -m tcp -p tcp --dport 25 -m state --state NEW -j ACCEPT

# SQUID FORWARD und Transparent Proxy
iptables -t nat -A PREROUTING -p tcp -s 192.168.10.2/255.255.255.0 --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -p tcp -s 192.168.0.0/24 --dport 80 -j REDIRECT --to-port 3128
iptables -A FORWARD -m tcp -p tcp --dport 3128 -m state --state NEW -j ACCEPT


# FTP FORWARD
iptables -A FORWARD -m tcp -p tcp --dport 20:21 -m state --state NEW -j ACCEPT

#ICMP FORWARD erlauben
iptables -A FORWARD -m state --state NEW -p icmp -j ACCEPT

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Paketweiterleitung
iptables -A POSTROUTING -t nat -s 192.168.0.0/24 -j MASQUERADE
iptables -A POSTROUTING -t nat -s 192.168.10.0/24 -j MASQUERADE

# Pakete von lokalen Prozessen
iptables -P OUTPUT ACCEPT
# Korrupte Pakete zurueckweisen
iptables -A OUTPUT -m state --state INVALID -j DROP

# Forwarding/Routing
echo 1 > /proc/sys/net/ipv4/ip_forward

# SYN-Cookies
echo 1 > /proc/sys/net/ipv4/tcp_syncookies 2> /dev/null

# Stop Source-Routing
for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/accept_source_route 2> /dev/null; done

# Stop Redirecting
for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/accept_redirects 2> /dev/null; done

# Reverse-Path-Filter
for i in /proc/sys/net/ipv4/conf/*; do echo 2 > $i/rp_filter 2> /dev/null; done

# Log Martians
for i in /proc/sys/net/ipv4/conf/*; do echo 1 > $i/log_martians 2> /dev/null; done

# BOOTP-Relaying ausschalten
for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/bootp_relay 2> /dev/null; done

# Proxy-ARP ausschalten
for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/proxy_arp 2> /dev/null; done

# Ungltige ICMP-Antworten ignorieren
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses 2> /dev/null

# ICMP Echo-Broadcasts ignorieren
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts 2> /dev/null

# Max. 500/Sekunde (5/Jiffie) senden
echo 5 > /proc/sys/net/ipv4/icmp_ratelimit

# Speicherallozierung und -timing fr IP-De/-Fragmentierung
echo 262144 > /proc/sys/net/ipv4/ipfrag_high_thresh
echo 196608 > /proc/sys/net/ipv4/ipfrag_low_thresh
echo 30 > /proc/sys/net/ipv4/ipfrag_time

# TCP-FIN-Timeout zum Schutz vor DoS-Attacken setzen
echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout

# Maximal 3 Antworten auf ein TCP-SYN
echo 3 > /proc/sys/net/ipv4/tcp_retries1

# TCP-Pakete maximal 15x wiederholen
echo 15 > /proc/sys/net/ipv4/tcp_retries2

;;

stop)
echo "Stoppe IP-Paketfilter"
# Tabelle flushen
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X
echo "Deaktiviere IP-Routing"
echo 0 > /proc/sys/net/ipv4/ip_forward

# Default-Policies setzen
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;

status)
echo "Tabelle filter"
iptables -L -vn
echo "Tabelle nat"
iptables -t nat -L -vn
echo "Tabelle mangle"
iptables -t mangle -L -vn
;;

*)
echo "Fehlerhafter Aufruf"
echo "Syntax: $0 {start|stop|status}"
exit 1
;;

esac

[jacusy]

Sorry, wenn ich deine 20000 Zeilen nicht komplett gelesen habe.
Aber mach doch folgendes:

Erlaube zunächst alles. Wenn das funktioniert, kannst du weiter machen, indem du einzelne Dienste freigibst. Schritt für Schritt, dann siehst du sofort, wo dein Fehler ist.
Da blickt ja kein Mensch mehr durch.. (ich zumindest nicht).

[mati0504]

Hallo,

sicherlich ist der Script nicht gerade kurz... ich muß aber dazu sagen, wenn ich
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT mit NEW erweitere, dann geht alles, aber dann wirklich alles und das soll ja nicht sein, sondern nur die ports sollen laufen, die ich freigebe...

[mati0504]

Oder von mir aus können wir es auch etwas anders machen.

Ich hätte gern gewusst, was ich im "Normalfall" eingeben muß, daß alle anfragen aus dem Lokalen Netz ins Internet (WWW, also Port80) über dsl0 weitergeleitet weden.

Ich denke da habe ich schon den ersten Fehler gemacht.

Konfiguration ist so:

eth0: 192.168.10.1
eth1: 192.168.1.2 die auch gleich am DSL-Modem hängt
dsl0: wird zugewiesen von T-Online

DIAL_ON_DEMAND ist aktiviert

Danke für eure Hilfe!

[armstrong42]

hi!

@jacusy
also wenn plicy auf accept ist, brauche ich keine dienste mehr freigeben, da ja sowieso das paket accepted wird wenn keine Regel zutrifft. Mit Accept muss ich dienste sperren die ich nicht haben will.

@mati0504
hast du das skript selbst geschrieben oder irgendwo kopiert? default policies sind nicht gesetzt.
hast du schon in der log nachgeschaut, bei welchen schritt er hängt?? ich meine jetzt die log von dem dsl aufbau.

Ist bei mir das gleiche prob. sobald die policies von filter table auf drop stehen, baut kinternet keine verbindung auf, keine fm, wählverbindung bleibt einfach hängen.
die zeile iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT bräuchtest du eigentlich gar nicht verwenden, weil du ja sowieso für jeden dienst diese eigenschaften benutzt.
z.b: $iptables -A INPUT -i eth0 -p tcp -s any/0 -m state --state ESTABLISHED,RELATED --sport 80 --dport 1024:65535 -j ACCEPT
und bei Output natürlich NEW dazu. eigentlich würde nur "NEW" auch reichen.

[mati0504]

@armstrong42 :

1, ich habe das Script teils kopiert, teils etwas dazu geschrieben.
2, wo ist die Logdatei für DSL-Aufbau zu finden? bei /var/log/messages bekomme ich jedes mal "unknown FORWARD"
3, hast du also im Prinzip das gleich Problem... oder hast du mittlerweile eine Lösung?

4, ich dachet die DefaltPolicy's sind gesetzt... nur etwas in der Mitte ;-) :
# Standard
# Pakete an lokale Prozesse
# Policy (Standardverhalten): Paket ververfen
iptables -P INPUT DROP
...
usw etwas weiter unten

[armstrong42]

ne lösung hab ich noch keine. hab schon mal im firewall forum gepostet, ausser dass sich 30 leute meinen thread durchgeles haben keine antwort.
was für eine distribution hast du?
ich verwende 9.2 und baue verb mit kinternet auf. hab mir deinen beitrag nochmal durchgelesen --> ist deine verbindung schon aufgebaut und werden dann keine weitergeleitet? oder wird die verbindung am firewallrechner schon gar nicht aufgebaut?

mir ist an deinem skript was aufgefallen:
ip_forwar mit echo 1 würde ich nicht so aktivieren, sondern lieber in der /etc/sysctl.conf

Ausserdem wenn keine Pakete weitergeleitet werden, fehlen dir noch ein paar zeilen:

#NAT
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 MASQUERADE

iptables -A FORWARD -i ppp0 -d 192.168.0.0/24 -j ACCEPT

#MTU auf den Clients kleiner als 1500 stellen --> nur für dsl
iptables -A FORWARD -o ppp0 -p TCP --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

1. Zeile: masquieren der pakete -_> hast du schon.
2.Zeile: forwarding accepten von ppp0 an c-netz
3.Zeile: mtu wert auf 1492 stellen --> ich glaube dass is der auslöser--> bin mir jetzt nicht mehr sicher ob das bei t-dsl war, aber die standard paketgrösse ist 1500 byte. irgendein Provider provider haut noch zu den 1500 8byte dazu (braucht er) --> damit mtu=1508 --> diese pakete routen die meisten router nicht mehr --> deshalb die zeile, die die maximale paketgrösse auf 1492 stellen. probier die zeile einmal aus!!!!

[mati0504]

@armstrong42
erstmal danke für deine antworten.

ich verwende auch suse9.2

habe auch ein anderes script, das funktioniert, lässt aber alle anfragen durch, zu mindest aus dem c-netz ins internet....

bei dem, das ich hier gepostet habe baut sich keine verbindung auf....

ich denke es wäre das beste wenn ich das funktionierende scipt nehmen würde und dort einige einschränkungen machen würde...

die zeilen, die du mir geschrieben, haben leider auch nicht weitergeholfen.

wenn es dich interressiert, kann ich dir das funktionierende script zukommen lassen.zb per mail und darauf könnte man aufbauen.

[armstrong42]

lol hast du auch den pptp port (1723) nicht freigegeben!!!

das war der fehler. mein skript funktioniert jetzt endlich. die verbindung zum dsl modem wird endlich aufgebaut.

mati probiers aus und gib den port 1723 frei. der wird fürs pptp protokoll gebraucht!

komisch nur, dass das in keiner doku steht.
jeder schreibt default pol auf drop stellen, die paar ports freigeben, wer adsl verwendet die zeile mit masquerading eintragen bla bla bla und so sollte es funktionieren LOL. aber das hat keiner in seine doku geschrieben. --> naps

[mati0504]

hmmmmm.....

trotz Port 1723 geht es nicht.... da gibt es mit sicherheit noch einen Fehler.

Sollte ich statt OUT= dsl0 ETH1 verwenden?

[armstrong42]

eth1 ist bei mir die schnittstelle zum lan. mit eth1 glaub ich habe ich nur zwei regeln, und zwar um lan verkehr zu genehmigen(ne input und ne output regel)

dsl0 als schnittstelle habe ich nur bei den 3 nat regeln.

iptables -t nat -A POSTROUTING -o dsl0 -s $lan -j MASQUERADE

iptables -A FORWARD -i dsl0 -d $lan -j ACCEPT

iptables -A FORWARD -o dsl0 -p TCP --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

hatte vorher ppp0 dort stehen. Aber bei meinem suse renamed er die schnittstellenvariable ppp0 auf dsl0 um.
Wenn er eine verbindung dann aufgebaut hat ist auch unter ifconfig dsl0 plus die externe ip dortgestande.
als noch ppp0 bei den regeln stand funktionierte es nicht, erst bei dsl0--> weil er ja die schliesslich auch verwendet.
Brauchst eh nur bei deinem protokoll wennst mit kinternet ne verb. aufbaust nachscheuen ober eh dsl0 verwendet wird.
--> weist eh wo das protokoll zum sehen ist oder?
im protokoll steht nämlich: bla bla bla rename ppp0 to dsl0 .. use dsl0

[Harry]

Hi,

nur eine kleine Anmerkung zu dem Script. Ganz offensichtlich wurde das Script aus meinem iptables Generator abgeleitet. Alle Scripte, die aus dem Generator kommen, stehen unter der GPL, dürfen also frei modifiziert und verwendet werden.
Aber: Der Lizenzhinweis _muss_ im Script bleiben; Modifikationen müssen also auch nach den Regeln der gültigen Lizenz eingearbeitet werden. OpenSource Software und damit GPL-Software ist nicht freie Software im Sinne von "vogelfrei". Auch hier gibt es Regeln, an die man sich halten muss.

Die Lizenz, die im Detail Rechte und Pflichten von Anwendern regelt, ist hier zu finden.

PS: Das hier ist leider kein Einzelfall. Ich sehe im Internet inzwischen immer wieder Filterscripte, die von meinem Generator abgeleitet wurden und wo dann jeglicher Urheber- und Lizenzverweis fehlt. Das finde ich eigentlich schade für die OSS-Entwicklergemeinde, denn das Verhalten raubt jedes mal ein bisschen an Motivation, dort noch weiterzuarbeiten, um Software und Tools kostenlos für alle zur Verfügung zu stellen.

Harry

[armstrong42]

mati schmeiss den namen von harry wieder rein!!

[armstrong42]

aber harry jetzt wo du schon mal reingeschaut hast....
hötte da ein pöör frögen

1.) iptables -n --> erstellt ja eine neue chain oder ein neues Ziel oder?

wenn jetzt: iptables -n mydrop benenne ist das ziel dann -j mydrop =klar ...
so, woher weiss linux was mydrop bedeutet, wo definiere ich das??

2.) das ziel -j LOG .. toll loggt alles was bei der regel reinfällt --> jetzt will ich aber z.B. bei einer regel dass als zeil alles drop ist und zusätzlich ge-LOG wird wie schreibe ich das bei einer zeile ... bei ipchains gabs ja
-j deny -l.

wäre toll wenn du mir ein paar antworten geben kannst grosser guru!!!

[muell200]

hallo

muss gestehen, ich habe nicht alles gelesen,..
aber ich denke du suchst:

$IPTABLES -A my_drop -p ICMP -j LOG --log-prefix "DROP_ICMP "
$IPTABLES -A my_drop -p UDP -j LOG --log-prefix "DROP_UDP "
$IPTABLES -A my_drop -p TCP -j LOG --log-prefix "DROP_TCP "
$IPTABLES -A my_drop -j DROP
...
# Rest sperren und loggen
$IPTABLES -A INPUT -j my_drop
$IPTABLES -A FORWARD -j my_drop
$IPTABLES -A OUTPUT -j my_drop