Archiv verlassen und diese Seite im Standarddesign anzeigen : IPSec, kein Ping
Hallo,
ich probiere für den Anfang eine IPSec Host-to-Host Verbindung aufzubauen, funktioniert soweit auch, also SA lässt sich aufbauen, nur Ping geht nicht :/
Zu den Details..:
Ich habe 2 Maschinen mit statischer IP ohne Netz dahinter. Packetfilter sind installiert, lassen aber UDP 500, ESP und AH durch.
Bei den Betriebssystemen handelt es sich um ein SuSE Linux auf der einen Seite und ein Debian Woody 3rc1 auf der anderen.
Die Freeswan Versionen sind auf beiden seiten die 2.01 mit dem x509 Patch von www.freeswan.ca
Im weiteren Verlauf heisst die Debian Kiste "ak44" und die SuSE Kiste "ak46"
zu den Configs..
Config auf ak44:
version 2
config setup
interfaces="ipsec0=eth0"
klipsdebug=all
plutodebug=all
uniqueids=yes
conn block
auto=ignore
conn private
auto=ignore
conn private-or-clear
auto=ignore
conn clear-or-private
auto=ignore
conn clear
auto=ignore
conn packetdefault
auto=ignore
conn ak46
auto=add
authby="rsasig"
left=213.158.116.32
leftnexthop=213.158.116.1
leftrsasigkey=.....
right=217.160.94.38
rightnexthop=217.160.94.1
rightrsasigkey=.....
type=tunnel
Config auf ak46:
version 2.0
config setup
interfaces="ipsec0=eth0"
klipsdebug=all
plutodebug=all
uniqueids=yes
conn block
auto=ignore
conn private
auto=ignore
conn private-or-clear
auto=ignore
conn clear-or-private
auto=ignore
conn clear
auto=ignore
conn packetdefault
auto=ignore
conn ak44
auto=add
authby="rsasig"
left=217.160.94.38
leftnexthop=217.160.94.1
leftrsasigkey=.....
right=213.158.116.32
rightnexthop=213.158.116.1
rightrsasigkey=.....
type=tunnel
Nun das Problem und Debug:
ak44:/usr/src# ipsec auto --verbose --show --up ak46
+ ipsec whack --name ak46 --initiate
+ echo = 0
002 "ak46" #3: initiating Main Mode
104 "ak46" #3: STATE_MAIN_I1: initiate
106 "ak46" #3: STATE_MAIN_I2: sent MI2, expecting MR2
108 "ak46" #3: STATE_MAIN_I3: sent MI3, expecting MR3
002 "ak46" #3: Peer ID is ID_IPV4_ADDR: '217.160.94.38'
002 "ak46" #3: ISAKMP SA established
004 "ak46" #3: STATE_MAIN_I4: ISAKMP SA established
002 "ak46" #4: initiating Quick Mode RSASIG+ENCRYPT+TUNNEL+PFS+UP
112 "ak46" #4: STATE_QUICK_I1: initiate
002 "ak46" #4: sent QI2, IPsec SA established
004 "ak46" #4: STATE_QUICK_I2: sent QI2, IPsec SA established
So SA geht.. check mit eroute auf beiden seiten:
ak44:/usr/src# ipsec eroute
0 213.158.116.32/32:0 -> 217.160.94.38/32:0 => tun0x1004@217.160.94.38:0
ak46:/usr/src # ipsec eroute
0 217.160.94.38/32:0 -> 213.158.116.32/32:0 => tun0x1006@213.158.116.32:0
Die Routing Tabellen:
ak44:
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
217.160.94.38 213.158.116.1 255.255.255.255 UGH 0 0 0 ipsec0
213.158.116.0 0.0.0.0 255.255.255.192 U 0 0 0 eth0
213.158.116.0 0.0.0.0 255.255.255.192 U 0 0 0 ipsec0
0.0.0.0 213.158.116.1 0.0.0.0 UG 0 0 0 eth0
ak46:
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
213.158.116.32 217.160.94.1 255.255.255.255 UGH 0 0 0 ipsec0
217.160.94.0 0.0.0.0 255.255.255.0 U 0 0 0 ipsec0
217.160.94.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
0.0.0.0 217.160.94.1 0.0.0.0 UG 0 0 0 eth0
Theoretisch sollte es jetzt funktionieren, theoretisch:
ak44:/usr/src# ping ak46.ath.cx
PING ak46.ath.cx (217.160.94.38): 56 data bytes
--- ak46.ath.cx ping statistics ---
8 packets transmitted, 0 packets received, 100% packet loss
mhh
tcpdump auf ak44:
ak44:~# tcpdump -n -i any dst 217.160.94.38
tcpdump: listening on any
17:08:40.527244 213.158.116.32 > 217.160.94.38: icmp: echo request (DF)
17:08:40.694239 213.158.116.32 > 217.160.94.38: ESP(spi=0x894a2624,seq=0x87)
17:08:41.726928 213.158.116.32 > 217.160.94.38: icmp: echo request (DF)
17:08:41.893829 213.158.116.32 > 217.160.94.38: ESP(spi=0x894a2624,seq=0x88)
17:08:42.956909 213.158.116.32 > 217.160.94.38: icmp: echo request (DF)
17:08:43.123890 213.158.116.32 > 217.160.94.38: ESP(spi=0x894a2624,seq=0x89)
17:08:44.166921 213.158.116.32 > 217.160.94.38: icmp: echo request (DF)
17:08:44.333953 213.158.116.32 > 217.160.94.38: ESP(spi=0x894a2624,seq=0x8a)
das ESP is von eth0, das icmp auf ipsec0.. sollte passen
Die andere seite mit listen auf source:
ak46:/usr/src/freeswan-2.01/doc # tcpdump -n -i eth0 src 213.158.116.32
User level filter, protocol ALL, datagram packet socket
tcpdump: listening on eth0
17:09:33.715053 213.158.116.32 > 217.160.94.38: ip-proto-50 116
17:09:34.914808 213.158.116.32 > 217.160.94.38: ip-proto-50 116
17:09:36.118564 213.158.116.32 > 217.160.94.38: ip-proto-50 116
17:09:37.326837 213.158.116.32 > 217.160.94.38: ip-proto-50 116
17:09:38.542169 213.158.116.32 > 217.160.94.38: ip-proto-50 116
Man sieht also, es kommt auch etwas an...
wenn ich nun mit:
tcpdump -n -i eth0 dst 213.158.116.32
auf ak46 lauschen lasse kommt kein output, was darauf schliessen lässt dass er nichts zurrück schickt.
Woran kann es liegen, dass er zwar empfängt aber nich antworten mag? WIe kann ich das genauer debuggen? Könnt ihr mir dazu einen Hinweis oder sogar eine Lösung geben? Nach 2 Tagen google und Newsgroups, Freeswan dokus lesen weiss ich nun wirklich nicht mehr was ich da noch machen soll. Falls noch mehr Informationen gewünscht sind, stelle ich diese gerne zur Verfügung.
MfG
... könnte eigentlich nur mehr an iptables liegen.
Manx
Ja daran dachte ich auch schon, doch was kann falsch sein?
Das mit UDP 500, ESP und AH muss ja passen sonst könnte er garkeinen TUnnel aufbauen.
Würde es helfen wenn ich 'iptables -v -L' beider Server posten würde?
MfG
Hi!
Wenn's nicht zu lang wird ein iptables -vnL, sonst als attachment.
Der Tunnelaufbau geht, aber beim ping gehts ja um ICMP in der INPUT bzw OUTPUT Chain und dann gibt's da noch ein ipsec0 Interface.
Manx
Okay...
ak44:~# iptables -vnL
Chain INPUT (policy DROP 12070 packets, 785K bytes)
pkts bytes target prot opt in out source destination
63M 31G INETIN all -- eth0 * 0.0.0.0/0 0.0.0.0/0
6469 642K ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 INETIN all -- eth0 ipsec0 0.0.0.0/0 0.0.0.0/0
0 0 INETOUT all -- ipsec0 eth0 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT 14550 packets, 1355K bytes)
pkts bytes target prot opt in out source destination
81M 107G INETOUT all -- * eth0 0.0.0.0/0 0.0.0.0/0
Chain DMZIN (0 references)
pkts bytes target prot opt in out source destination
Chain DMZOUT (0 references)
pkts bytes target prot opt in out source destination
Chain INETIN (2 references)
pkts bytes target prot opt in out source destination
22 1672 TREJECT all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
0 0 TREJECT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 5
0 0 TREJECT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 9
0 0 TREJECT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 10
0 0 TREJECT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 15
0 0 TREJECT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 16
0 0 TREJECT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 17
0 0 TREJECT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 18
1846 168K ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8 limit: avg 1/sec burst 5
0 0 TREJECT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8
45 4522 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp !type 8
46460 3609K TCPACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
3305 312K TCPACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:445
139K 9353K TCPACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:444
40M 1773M TCPACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpts:45000:48000
0 0 TCPACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8054
3 308 TCPACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:52136
413 21180 TCPACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:65001
380 16322 TCPACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:65002
351 74247 UDPACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53
259 63212 UDPACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:500
12033 1235K ACCEPT esp -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT ah -- * * 0.0.0.0/0 0.0.0.0/0
22M 29G ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state ESTABLISHED
0 0 TCPACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpts:1024:65535 state RELATED
0 0 UDPACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpts:1024:65535 state RELATED
18243 1380K TREJECT all -- * * 0.0.0.0/0 0.0.0.0/0
Chain INETOUT (2 references)
pkts bytes target prot opt in out source destination
81M 107G ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0
Chain LDROP (0 references)
pkts bytes target prot opt in out source destination
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 2/sec burst 5 LOG flags 0 level 6 prefix `TCP Dropped '
0 0 LOG udp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 2/sec burst 5 LOG flags 0 level 6 prefix `UDP Dropped '
0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 2/sec burst 5 LOG flags 0 level 6 prefix `ICMP Dropped '
0 0 LOG all -f * * 0.0.0.0/0 0.0.0.0/0 limit: avg 2/sec burst 5 LOG flags 0 level 4 prefix `FRAGMENT Dropped '
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain LREJECT (0 references)
pkts bytes target prot opt in out source destination
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 2/sec burst 5 LOG flags 0 level 6 prefix `TCP Rejected '
0 0 LOG udp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 2/sec burst 5 LOG flags 0 level 6 prefix `UDP Rejected '
0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 2/sec burst 5 LOG flags 0 level 6 prefix `ICMP Rejected '
0 0 LOG all -f * * 0.0.0.0/0 0.0.0.0/0 limit: avg 2/sec burst 5 LOG flags 0 level 4 prefix `FRAGMENT Rejected '
0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
Chain LTREJECT (0 references)
pkts bytes target prot opt in out source destination
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 2/sec burst 5 LOG flags 0 level 6 prefix `TCP Rejected '
0 0 LOG udp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 2/sec burst 5 LOG flags 0 level 6 prefix `UDP Rejected '
0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 2/sec burst 5 LOG flags 0 level 6 prefix `ICMP Rejected '
0 0 LOG all -f * * 0.0.0.0/0 0.0.0.0/0 limit: avg 2/sec burst 5 LOG flags 0 level 4 prefix `FRAGMENT Rejected '
0 0 TREJECT all -- * * 0.0.0.0/0 0.0.0.0/0
Chain TCPACCEPT (9 references)
pkts bytes target prot opt in out source destination
11219 581K ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x16/0x02 limit: avg 20/sec burst 5
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x16/0x02 limit: avg 2/sec burst 5 LOG flags 0 level 4 prefix `Possible SynFlood '
0 0 TREJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x16/0x02
40M 1786M ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x16/0x02
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 2/sec burst 5 LOG flags 0 level 4 prefix `Mismatch in TCPACCEPT '
0 0 TREJECT all -- * * 0.0.0.0/0 0.0.0.0/0
Chain TREJECT (14 references)
pkts bytes target prot opt in out source destination
10213 550K REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 reject-with tcp-reset
7002 801K REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
22 1672 DROP icmp -- * * 0.0.0.0/0 0.0.0.0/0
1028 28784 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
Chain UDPACCEPT (3 references)
pkts bytes target prot opt in out source destination
610 137K ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 2/sec burst 5 LOG flags 0 level 4 prefix `Mismatch on UDPACCEPT '
0 0 TREJECT all -- * * 0.0.0.0/0 0.0.0.0/0
.. und ..
ak46:~ # iptables -vnL
Chain INPUT (policy DROP 1 packets, 348 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT ah -- * * 0.0.0.0/0 0.0.0.0/0
600 81168 ACCEPT esp -- * * 0.0.0.0/0 0.0.0.0/0
74203 9705K ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT udp -- * * 0.0.0.0/0 255.255.255.255 state ESTABLISHED udp spt:67 dpt:68
0 0 LOG all -- * * 127.0.0.0/8 0.0.0.0/0 LOG flags 6 level 4 prefix `SuSE-FW-DROP-ANTI-SPOOFING'
0 0 LOG all -- * * 0.0.0.0/0 127.0.0.0/8 LOG flags 6 level 4 prefix `SuSE-FW-DROP-ANTI-SPOOFING'
0 0 DROP all -- * * 127.0.0.0/8 0.0.0.0/0
0 0 DROP all -- * * 0.0.0.0/0 127.0.0.0/8
0 0 LOG all -- * * 217.160.94.38 0.0.0.0/0 LOG flags 6 level 4 prefix `SuSE-FW-DROP-ANTI-SPOOFING'
0 0 DROP all -- * * 217.160.94.38 0.0.0.0/0
783K 143M input_ext all -- eth0 * 0.0.0.0/0 217.160.94.38
2 696 DROP all -- eth0 * 0.0.0.0/0 217.160.94.38
2 656 DROP all -- eth0 * 0.0.0.0/0 255.255.255.255
585 50802 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 6 level 4 prefix `SuSE-FW-UNALLOWED-TARGET'
585 50802 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 TCPMSS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU
Chain OUTPUT (policy ACCEPT 2 packets, 100 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT ah -- * * 0.0.0.0/0 0.0.0.0/0
3644 426K ACCEPT esp -- * * 0.0.0.0/0 0.0.0.0/0
74203 9705K ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 11 LOG flags 6 level 4 prefix `SuSE-FW-TRACEROUTE-ATTEMPT'
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 11
184 20857 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 3 code 3
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 3 code 4
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 3 code 9
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 3 code 10
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 3 code 13
0 0 DROP icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 3
778K 285M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 6 level 4 prefix `SuSE-FW-OUTPUT-ERROR'
Chain forward_dmz (0 references)
pkts bytes target prot opt in out source destination
Chain forward_ext (0 references)
pkts bytes target prot opt in out source destination
Chain forward_int (0 references)
pkts bytes target prot opt in out source destination
Chain input_dmz (0 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 217.160.94.38 0.0.0.0/0 LOG flags 6 level 4 prefix `SuSE-FW-DROP-ANTI-SPOOF'
0 0 DROP all -- * * 217.160.94.38 0.0.0.0/0
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 0
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 3
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 11
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 12
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 14
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 18
0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 5 LOG flags 6 level 4 prefix `SuSE-FW-DROP-ICMP-CRIT'
0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 4 LOG flags 6 level 4 prefix `SuSE-FW-DROP-ICMP-CRIT'
0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 13 LOG flags 6 level 4 prefix `SuSE-FW-DROP-ICMP-CRIT'
0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 17 LOG flags 6 level 4 prefix `SuSE-FW-DROP-ICMP-CRIT'
0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 2 LOG flags 6 level 4 prefix `SuSE-FW-DROP-ICMP-CRIT'
0 0 DROP icmp -- * * 0.0.0.0/0 0.0.0.0/0
0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:113 flags:0x16/0x02 reject-with tcp-reset
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 flags:0x16/0x02 LOG flags 6 level 4 prefix `SuSE-FW-DROP'
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 flags:0x16/0x02
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 flags:0x16/0x02 LOG flags 6 level 4 prefix `SuSE-FW-DROP'
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 flags:0x16/0x02
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:25 flags:0x16/0x02 LOG flags 6 level 4 prefix `SuSE-FW-DROP'
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:25 flags:0x16/0x02
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 flags:0x16/0x02 LOG flags 6 level 4 prefix `SuSE-FW-DROP'
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 flags:0x16/0x02
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:110 flags:0x16/0x02 LOG flags 6 level 4 prefix `SuSE-FW-DROP'
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:110 flags:0x16/0x02
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:113 flags:0x16/0x02 LOG flags 6 level 4 prefix `SuSE-FW-DROP'
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:113 flags:0x16/0x02
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 flags:0x16/0x02 LOG flags 6 level 4 prefix `SuSE-FW-DROP'
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 flags:0x16/0x02
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:999 flags:0x16/0x02 LOG flags 6 level 4 prefix `SuSE-FW-DROP'
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:999 flags:0x16/0x02
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:2401 flags:0x16/0x02 LOG flags 6 level 4 prefix `SuSE-FW-DROP'
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:2401 flags:0x16/0x02
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3306 flags:0x16/0x02 LOG flags 6 level 4 prefix `SuSE-FW-DROP'
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3306 flags:0x16/0x02
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:4430 flags:0x16/0x02 LOG flags 6 level 4 prefix `SuSE-FW-DROP'
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:4430 flags:0x16/0x02
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5432 flags:0x16/0x02 LOG flags 6 level 4 prefix `SuSE-FW-DROP'
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5432 flags:0x16/0x02
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:7788 flags:0x16/0x02 LOG flags 6 level 4 prefix `SuSE-FW-DROP'
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:7788 flags:0x16/0x02
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8000 flags:0x16/0x02 LOG flags 6 level 4 prefix `SuSE-FW-DROP'
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8000 flags:0x16/0x02
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8007 flags:0x16/0x02 LOG flags 6 level 4 prefix `SuSE-FW-DROP'
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8007 flags:0x16/0x02
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:14534 flags:0x16/0x02 LOG flags 6 level 4 prefix `SuSE-FW-DROP'
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:14534 flags:0x16/0x02
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:31331 flags:0x16/0x02 LOG flags 6 level 4 prefix `SuSE-FW-DROP'
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:31331 flags:0x16/0x02
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:31338 flags:0x16/0x02 LOG flags 6 level 4 prefix `SuSE-FW-DROP'
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:31338 flags:0x16/0x02
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:31339 flags:0x16/0x02 LOG flags 6 level 4 prefix `SuSE-FW-DROP'
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:31339 flags:0x16/0x02
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:51234 flags:0x16/0x02 LOG flags 6 level 4 prefix `SuSE-FW-DROP'
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:51234 flags:0x16/0x02
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:63636 flags:0x16/0x02 LOG flags 6 level 4 prefix `SuSE-FW-DROP'
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:63636 flags:0x16/0x02
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpts:1024:65535 flags:0x16/0x02 LOG flags 6 level 4 prefix `SuSE-FW-ACCEPT'
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED tcp dpts:1024:65535
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state ESTABLISHED tcp dpts:600:65535 flags:!0x16/0x02
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state ESTABLISHED tcp dpt:20 flags:!0x16/0x02
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED udp dpt:29016
0 0 ACCEPT udp -- * * 195.20.224.234 0.0.0.0/0 state NEW,RELATED,ESTABLISHED udp spt:53 dpts:1024:65535
0 0 ACCEPT udp -- * * 195.20.224.99 0.0.0.0/0 state NEW,RELATED,ESTABLISHED udp spt:53 dpts:1024:65535
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:21
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:22
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:25
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:80
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:110
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:113
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:443
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:999
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:1269
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:2401
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:3306
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:4430
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:5432
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:7788
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:8000
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:8007
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:8767
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:10000
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:14534
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:31331
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:31338
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:31339
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:51234
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:63636
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED udp dpts:1024:65535
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x16/0x02 LOG flags 6 level 4 prefix `SuSE-FW-DROP-DEFAULT'
0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 4 LOG flags 6 level 4 prefix `SuSE-FW-DROP-DEFAULT'
0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 5 LOG flags 6 level 4 prefix `SuSE-FW-DROP-DEFAULT'
0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8 LOG flags 6 level 4 prefix `SuSE-FW-DROP-DEFAULT'
0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 13 LOG flags 6 level 4 prefix `SuSE-FW-DROP-DEFAULT'
0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 17 LOG flags 6 level 4 prefix `SuSE-FW-DROP-DEFAULT'
0 0 LOG udp -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 6 level 4 prefix `SuSE-FW-DROP-DEFAULT'
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID LOG flags 6 level 4 prefix `SuSE-FW-DROP-DEFAULT-INVALID'
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain input_ext (1 references)
pkts bytes target prot opt in out source destination
0 0 LOG icmp -- * * 217.160.94.38 0.0.0.0/0 icmp type 4 LOG flags 6 level 4 prefix `SuSE-FW-ACCEPT-SOURCEQUENCH'
0 0 ACCEPT icmp -- * * 217.160.94.38 0.0.0.0/0 icmp type 4
864 79048 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8
9 66035 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 0
21 1246 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 3
49 5864 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 11
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 12
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 14
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 18
0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 5 LOG flags 6 level 4 prefix `SuSE-FW-DROP-ICMP-CRIT'
0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 4 LOG flags 6 level 4 prefix `SuSE-FW-DROP-ICMP-CRIT'
0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 13 LOG flags 6 level 4 prefix `SuSE-FW-DROP-ICMP-CRIT'
0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 17 LOG flags 6 level 4 prefix `SuSE-FW-DROP-ICMP-CRIT'
0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 2 LOG flags 6 level 4 prefix `SuSE-FW-DROP-ICMP-CRIT'
0 0 DROP icmp -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT esp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT ah -- * * 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED
5 240 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 flags:0x16/0x02 LOG flags 6 level 4 prefix `SuSE-FW-ACCEPT'
24 1034 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED tcp dpt:21
6 348 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 flags:0x16/0x02 LOG flags 6 level 4 prefix `SuSE-FW-ACCEPT'
31726 17M ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED tcp dpt:22
328 17476 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:25 flags:0x16/0x02 LOG flags 6 level 4 prefix `SuSE-FW-ACCEPT'
5591 1999K ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED tcp dpt:25
532 27800 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 flags:0x16/0x02 LOG flags 6 level 4 prefix `SuSE-FW-ACCEPT'
16453 2633K ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED tcp dpt:80
392 23520 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:110 flags:0x16/0x02 LOG flags 6 level 4 prefix `SuSE-FW-ACCEPT'
4724 267K ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED tcp dpt:110
116 6776 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:113 flags:0x16/0x02 LOG flags 6 level 4 prefix `SuSE-FW-ACCEPT'
627 34092 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED tcp dpt:113
2 120 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 flags:0x16/0x02 LOG flags 6 level 4 prefix `SuSE-FW-ACCEPT'
11 688 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED tcp dpt:443
632 30336 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:4430 flags:0x16/0x02 LOG flags 6 level 4 prefix `SuSE-FW-ACCEPT'
5568 715K ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED tcp dpt:4430
22 1308 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8000 flags:0x16/0x02 LOG flags 6 level 4 prefix `SuSE-FW-ACCEPT'
121 8682 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED tcp dpt:8000
1052 52112 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:31331 flags:0x16/0x02 LOG flags 6 level 4 prefix `SuSE-FW-ACCEPT'
137K 7017K ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED tcp dpt:31331
4 228 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:31338 flags:0x16/0x02 LOG flags 6 level 4 prefix `SuSE-FW-ACCEPT'
4710 363K ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED tcp dpt:31338
5 288 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:31339 flags:0x16/0x02 LOG flags 6 level 4 prefix `SuSE-FW-ACCEPT'
27191 1599K ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED tcp dpt:31339
5 276 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:31330 flags:0x16/0x02 LOG flags 6 level 4 prefix `SuSE-FW-ACCEPT'
7174 562K ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED tcp dpt:31330
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:2401 flags:0x16/0x02 LOG flags 6 level 4 prefix `SuSE-FW-ACCEPT'
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED tcp dpt:2401
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:44444 flags:0x16/0x02 LOG flags 6 level 4 prefix `SuSE-FW-ACCEPT'
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED tcp dpt:44444
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:14534 flags:0x16/0x02 LOG flags 6 level 4 prefix `SuSE-FW-ACCEPT'
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED tcp dpt:14534
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:51234 flags:0x16/0x02 LOG flags 6 level 4 prefix `SuSE-FW-ACCEPT'
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED tcp dpt:51234
6 288 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:999 flags:0x16/0x02 LOG flags 6 level 4 prefix `SuSE-FW-ACCEPT'
43319 2424K ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED tcp dpt:999
8 480 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpts:45000:48000 flags:0x16/0x02 LOG flags 6 level 4 prefix `SuSE-FW-ACCEPT'
8 480 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED tcp dpts:45000:48000
0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:113 flags:0x16/0x02 reject-with tcp-reset
3 144 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 flags:0x16/0x02 LOG flags 6 level 4 prefix `SuSE-FW-DROP'
3 144 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 flags:0x16/0x02
3 144 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3306 flags:0x16/0x02 LOG flags 6 level 4 prefix `SuSE-FW-DROP'
3 144 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3306 flags:0x16/0x02
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5432 flags:0x16/0x02 LOG flags 6 level 4 prefix `SuSE-FW-DROP'
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5432 flags:0x16/0x02
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:7788 flags:0x16/0x02 LOG flags 6 level 4 prefix `SuSE-FW-DROP'
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:7788 flags:0x16/0x02
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8007 flags:0x16/0x02 LOG flags 6 level 4 prefix `SuSE-FW-DROP'
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8007 flags:0x16/0x02
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:63636 flags:0x16/0x02 LOG flags 6 level 4 prefix `SuSE-FW-DROP'
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:63636 flags:0x16/0x02
1034 55948 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpts:1024:65535 flags:0x16/0x02 LOG flags 6 level 4 prefix `SuSE-FW-ACCEPT'
439K 59M ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED tcp dpts:1024:65535
51617 47M ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state ESTABLISHED tcp dpts:600:65535 flags:!0x16/0x02
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state ESTABLISHED tcp dpt:20 flags:!0x16/0x02
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED udp dpt:123
3 233 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED udp dpt:53
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED udp dpt:8767
165 40356 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED udp dpt:500
3911 763K ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED udp dpt:29016
235 18188 ACCEPT udp -- * * 195.20.224.234 0.0.0.0/0 state NEW,RELATED,ESTABLISHED udp spt:53 dpts:1024:65535
205 17034 ACCEPT udp -- * * 195.20.224.99 0.0.0.0/0 state NEW,RELATED,ESTABLISHED udp spt:53 dpts:1024:65535
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:1269
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:3306
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:5432
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:7788
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:8007
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:10000
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:63636
65 3028 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED udp dpts:1024:65535
2427 120K LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x16/0x02 LOG flags 6 level 4 prefix `SuSE-FW-DROP-DEFAULT'
0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 4 LOG flags 6 level 4 prefix `SuSE-FW-DROP-DEFAULT'
0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 5 LOG flags 6 level 4 prefix `SuSE-FW-DROP-DEFAULT'
0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8 LOG flags 6 level 4 prefix `SuSE-FW-DROP-DEFAULT'
0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 13 LOG flags 6 level 4 prefix `SuSE-FW-DROP-DEFAULT'
0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 17 LOG flags 6 level 4 prefix `SuSE-FW-DROP-DEFAULT'
90 5060 LOG udp -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 6 level 4 prefix `SuSE-FW-DROP-DEFAULT'
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID LOG flags 6 level 4 prefix `SuSE-FW-DROP-DEFAULT-INVALID'
2519 125K DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain input_int (0 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 217.160.94.38 0.0.0.0/0 LOG flags 6 level 4 prefix `SuSE-FW-DROP-ANTI-SPOOF'
0 0 DROP all -- * * 217.160.94.38 0.0.0.0/0
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 0
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 3
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 11
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 12
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 14
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 18
0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 5 LOG flags 6 level 4 prefix `SuSE-FW-DROP-ICMP-CRIT'
0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 4 LOG flags 6 level 4 prefix `SuSE-FW-DROP-ICMP-CRIT'
0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 13 LOG flags 6 level 4 prefix `SuSE-FW-DROP-ICMP-CRIT'
0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 17 LOG flags 6 level 4 prefix `SuSE-FW-DROP-ICMP-CRIT'
0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 2 LOG flags 6 level 4 prefix `SuSE-FW-DROP-ICMP-CRIT'
0 0 DROP icmp -- * * 0.0.0.0/0 0.0.0.0/0
0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:113 flags:0x16/0x02 reject-with tcp-reset
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpts:1024:65535 flags:0x16/0x02 LOG flags 6 level 4 prefix `SuSE-FW-ACCEPT'
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED tcp dpts:1024:65535
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state ESTABLISHED tcp dpts:600:65535 flags:!0x16/0x02
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state ESTABLISHED tcp dpt:20 flags:!0x16/0x02
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED udp dpt:29016
0 0 ACCEPT udp -- * * 195.20.224.234 0.0.0.0/0 state NEW,RELATED,ESTABLISHED udp spt:53 dpts:1024:65535
0 0 ACCEPT udp -- * * 195.20.224.99 0.0.0.0/0 state NEW,RELATED,ESTABLISHED udp spt:53 dpts:1024:65535
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED udp dpts:1024:65535
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x16/0x02 LOG flags 6 level 4 prefix `SuSE-FW-DROP-DEFAULT'
0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 4 LOG flags 6 level 4 prefix `SuSE-FW-DROP-DEFAULT'
0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 5 LOG flags 6 level 4 prefix `SuSE-FW-DROP-DEFAULT'
0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8 LOG flags 6 level 4 prefix `SuSE-FW-DROP-DEFAULT'
0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 13 LOG flags 6 level 4 prefix `SuSE-FW-DROP-DEFAULT'
0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 17 LOG flags 6 level 4 prefix `SuSE-FW-DROP-DEFAULT'
0 0 LOG udp -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 6 level 4 prefix `SuSE-FW-DROP-DEFAULT'
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID LOG flags 6 level 4 prefix `SuSE-FW-DROP-DEFAULT-INVALID'
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Hi!
IMHO stimmt da einiges nicht.
Was mir auffiel:
Ich galube nicht, dass in Deiner Konstellation irgendwas in die FORWARD-Chain fällt, da es immer die Rechner selber betrifft (INPUT und OUTPUT) auch wenn zwei Interfaces betroffen sind (eth0 und ipsec0).
Am ak44 find ich's komisch, dass in der FORWARD-Chain, eth0 und ipsec0 erwähnt werden (für INETOUT umgekehrt).
Auf ak44 geht er nur in die "INETOUT" für Pakete die am eth0 Interface rausgehen bzw. in die INETIN für Pakete die in eth0 reinkommen.
Am ak46 Rechner geht er nur in die "input_ext" für Pakete die auf eth0 reinkommen.
Da scheinbar die SuSE-Firewall verwendet wird => Vorschlag selber hinsetzen und ein Script basteln, das auch zu verstehen ist.
Möglicherweise kommst Du mit einer LOG-Regel am Schluss den gedroppten Paketen auf die Spur.
Grüße
Manx
Hallo,
erstmal danke für deine Antwort.
Hi!
IMHO stimmt da einiges nicht.
Was mir auffiel:
Ich galube nicht, dass in Deiner Konstellation irgendwas in die FORWARD-Chain fällt, da es immer die Rechner selber betrifft (INPUT und OUTPUT) auch wenn zwei Interfaces betroffen sind (eth0 und ipsec0).
Am ak44 find ich's komisch, dass in der FORWARD-Chain, eth0 und ipsec0 erwähnt werden (für INETOUT umgekehrt).
Auf ak44 geht er nur in die "INETOUT" für Pakete die am eth0 Interface rausgehen bzw. in die INETIN für Pakete die in eth0 reinkommen.
Am ak46 Rechner geht er nur in die "input_ext" für Pakete die auf eth0 reinkommen.
Sind das kongrete Hinweise die darauf zurrück führen lassen können dass es so nicht funktionieren kann?
Da scheinbar die SuSE-Firewall verwendet wird => Vorschlag selber hinsetzen und ein Script basteln, das auch zu verstehen ist.
Ja, ich habe mich bisher noch nicht sonderlich intensiv befasst, um mir selber eines schreiben zu können müsste ich mich min. 1 woche genau mit iptables befassen.
Ich bin mit den Firewall Scripten, welche ich bisher verwendet habe eigentlich immer ganz gut gefahren und würde eine Lösung der Veränderung dieser Scripte vorziehen.
Möglicherweise kommst Du mit einer LOG-Regel am Schluss den gedroppten Paketen auf die Spur.
Wie würde diese Regel aussehen?
MfG
-ready
Original geschrieben von READY
Ja, ich habe mich bisher noch nicht sonderlich intensiv befasst, um mir selber eines schreiben zu können müsste ich mich min. 1 woche genau mit iptables befassen.
Ein bis zwei Tage intensiv arbeiten und aus fertigen Scripts lernen. www.linuxguruz.com/iptables
Ein einfaches Script von harry.homelinux.org ist leichter zu verstehen, als sich gleich durch's SuSE-Firewall Regelwerk zu plagen.
Wie würde diese Regel aussehen?
.. das ist einfach ;)
Manx
Ein bis zwei Tage intensiv arbeiten und aus fertigen Scripts lernen. www.linuxguruz.com/iptables
Ein einfaches Script von harry.homelinux.org ist leichter zu verstehen, als sich gleich durch's SuSE-Firewall Regelwerk zu plagen.
Naja ich probier erstmal dem Problem auf die schliche zu kommen, werde dann warscheinlich das Firewall Script welches ich auf dem ak44 verwende auch auf dem ak46 zum Einsatz kommen lassen, das ist recht gut verständlich und auch relativ leicht zu modifizieren. Es handelt sich dabei um MonMotha's IPTables rc.firewall Script http://monmotha.mplug.org/firewall/index.php.
.. das ist einfach ;)
Manx
Stimmt ;)
ping ak44->ak46 gibt mir folgende Ausgabe auf ak46:
Oct 31 12:16:28 p15091026 kernel: SuSE-FW-UNALLOWED-TARGETIN=ipsec0 OUT= MAC=00:e0:4c:39:0d:f7:00:60:08:f7:12:d8:08:00 SRC=213.158.116.32 DST=217.160.94.38 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=ICMP TYPE=8 CODE=0 ID=53266 SEQ=512
ping ak46->ak44 gibt mir atm keine ausgabe auf ak44, da die Firewall scheinbar nur aufs Display loggt und ich bisher nicht die passende syslog Option gefunden habe um das zu ändern. Falls du da was weisst wäre ich dir auch sehr dankbar ;)
Kannst du mir sagen mit welcher regel ich das UNALLOWED-TARGETIN zum ALLOWED-TARGETIN machen kann? ;)
MfG
-ready
Hi!
Das ist eben nicht so einfach:
Schuld ist die INPUT Chain
Chain INPUT (policy DROP 1 packets, 348 bytes)
pkts bytes target prot opt in out source destination
...
783K 143M input_ext all -- eth0 * 0.0.0.0/0 217.160.94.38 ### <== statt in eth0 besser "*"
2 696 DROP all -- eth0 * 0.0.0.0/0 217.160.94.38
2 656 DROP all -- eth0 * 0.0.0.0/0 255.255.255.255
585 50802 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 6 level 4 prefix `SuSE-FW-UNALLOWED-TARGET' ### <== das wird geloggt!!
585 50802 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
sinnvollerweise sollte die "input_ext"-chain bei allen interfaces anspringen nicht nur bei eth0, damit die Regeln auch für ipsec0 gelten.
Manx
Ha! Ich habe ein bisschen rumprobiert und nun funktioniert es. Ich hatte die ipsec0 Interfaces als LAN Interface auf beiden seiten geaddet, nun habe ich es als EXT Interface und siehe da, es funktioniert :D ..endlich!
Tausend Dank für deine Hilfe :)
-ready
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.