Archiv verlassen und diese Seite im Standarddesign anzeigen : Ping geht nicht mit Firewall
Hallo !
Ich habe mir eine Firewall mit iptables gemacht. Ist ja auch alles schön dicht aber ich kann den Server nicht anpingen und NFS sowie Samba nicht mounten. Welchen Port muss ich denn aufmachen um pingen zu können ?
Du darfst ICMP-Pakete (Internet Control Message Protocol) nicht droppen.
Grüßle
Schau Dir Harry's Iptables Generator auf www.harry.homelinux.de an.
Er erstellt Dir ein sehr gutes Script welches Du bei Bedarf auch weiter anpassen kannst...
mfg
cane
www.harry.homelinux.org bitte ;)
Harry
bei mir in /etc/services steht das icmp den Port 5813 hat. Also hab ich folgendes gemacht:
iptables --table filter --append INPUT --protocol tcp --destination-port 5813 --in-interface eth0 --jump ACCEPT
aber es geht immer noch nicht mit dem pingen. Ich will mir erstmal den Script nicht holen da ich selber erstmal wissen will wie das mit iptables so läuft und mir dann einen eigenen schreiben.
Ich hab mal gerade einen blick in mein Buch geworfen. Der hat das da so gelöst.
#allow outgoing pings to anywhere
if [ "$CONNECTION_TRACKING" = "1" ]; then
iptables -A OUTPUT -o $INTERNET -p icmp \
-s $IPADDR --icmp-type echo-request \
-m state --state NEW -j ACCEPT
fi
iptables -A OUTPUT -o $INTERNET -p icmp \
-s $IPADDR --icmp-type echo-request -j ACCEPT
iptables -A INPUT -i $INTERNET -p icmp \
--icmp-type echo-reply -d $IPADDR -j ACCEPT
# allow incoming pings from trusted hosts
if [ "$CONNECTION_TRACKING" = "1" ]; then
iptables -A INPUT -i $INTERNET -p icmp \
-s $MY_ISP --icmp-type echo-request -d $IPADDR \
-m state --state NEW -j ACCEPT
fi
iptables -A INPUT -i $INTERNET -p icmp \
-s $MY_ISP --icmp-type echo-request -d $IPADDR -j ACCEPT
iptables -A OUTPUT -o $INTERNET -p icmp \
-s $IPADDR --icmp-type echo-reply -d $MY_ISP -j ACCEPT
Quelle:
Linux Firewalls
Konzeption und Implementation für Netzwerke und PCs
von Robert L. Ziegler
ISBN 3-8272-6703-x
Wer lersen möchte: Unter http://www.oreilly.de/openbook/ gibt es unter anderem "Linux-Firewalls - Ein praktischer Einstieg" zum freien Download!
mfg
cane
Ich hab den Lan Zugriff hinbekommen nur NFS und Samba geht noch immer niocht. Ich hab für nfs den port 111 aus gemacht und für samba 2049 aber es geht immer noch nicht. Muss ich denn sonst nicht noch was auf machen für nfs oder samba. Ich komm echt nicht weiter.
Läuft das Iptables Script auf demselben Rechner der auch NFS und Samba anbieten soll?
Hi
wenn du canes Frage mit Ja beantworten kannst: Der Samba-Server benutzt mindestens den Port 135.
Für den NFS-Server findet sich vielleicht in den Manpages was.
Hi,
mal eine andere Frage: Wenn Du Deinen Server sowieso nur im LAN einsetzt (und die Clients aus dem LAN darauf zugreifen sollen), welchen Sinn macht denn dort der Einsatz eines Paketfilters?
Aktiviere auf dem Server die Dienste, die Du benötigst und deaktivere die Dienste, die Du nicht anbieten willst und alles ist in Butter.
Warum machst Du Dir soviel Streß?
Harry
bei mir in /etc/services steht das icmp den Port 5813 hat. Also hab ich folgendes gemacht:
iptables --table filter --append INPUT --protocol tcp --destination-port 5813 --in-interface eth0 --jump ACCEPT
Komisch, das steht bei mir nicht in der /etc/services (benutze Debian SID).
Außerdem ist ICMP in der OSI-Schicht auf Layer 3 anzusehen (selbe Ebene wie IP) und benutzt daher kein TCP (oder UDP) als Transportprotokoll, von daher gibt es auch keine Portnummern, sondern eher verschiedene Typen.
Willst du eine iptables-Regel für ICMP zusammenbauen, dann geht das so:
iptables -A INPUT -p ICMP --icmp-type x
wobei x für den Typ steht. Eine Auflistung findest du bspw. hier: http://iptables-tutorial.frozentux.net/iptables-tutorial.html#ICMPTYPES
Die gebräuchlisten dürften Typ 0 (ECHO_REPLY) und Typ 8 (ECHO_REQUEST) sein, die sind fürs "pingen" zuständig.
Bubble
Die gebräuchlisten dürften Typ 0 (ECHO_REPLY) und Typ 8 (ECHO_REQUEST) sein...
Vielleicht sind es die gebräuchlichsten - oder eher die bekanntesten. Aber es sind bei weitem nicht die wichtigsten. Die wesentlich wichtigeren ICMP-Typen sind IMHO destination-unreachable (mit all seinen Codes), TTL-exceeded, fragmentation-needed und noch ein paar andere.
Aber nochmal: Ich verstehe den Sinn im Einsatz eines Paketfilters in diesem speziellen Fall von Schmolleg nicht, da er die gewünschten Dienste ohnehin nur in einem LAN einsetzt. Das Deaktivieren der nicht benötigten Dienste bringt den gleichen Effekt und wird für ihn wesentlich transparenter sein.
Ich habe laut den o.a. Posts den Eindruck, dass die Thematik "Paketfilter" Schmolleg zur Zeit aufgrund seiner Kenntnisse möglicherweise etwas überfordert (ich kann mich natürlich irren) und ihn die ganzen Tipps zur Thematik nicht wirklich weiterbringen werden.
Harry
Komisch, das steht bei mir nicht in der /etc/services (benutze Debian SID). nicht verwunderlich, sondern normal. in /etc/services stehen die durch IANA vergeben Ports für UDP/TCP
Außerdem ist ICMP in der OSI-Schicht auf Layer 3 anzusehen (selbe Ebene wie IP) und benutzt daher kein TCP (oder UDP) als Transportprotokoll, von daher gibt es auch keine Portnummern, sondern eher verschiedene Typen.Nicht OSI Schicht-3, sondern OSI Schicht 4 (wenn man das denn unbedingt auf OSI umlegen will) bzw. DOD Schicht 3. ICMP befindet sich auch nicht auf Ebene von IP, sondern ICMP setzt wie auch UDP und TCP auf der IP Schicht auf.
HTH
Nicht OSI Schicht-3, sondern OSI Schicht 4 (wenn man das denn unbedingt auf OSI umlegen will) bzw. DOD Schicht 3. ICMP befindet sich auch nicht auf Ebene von IP, sondern ICMP setzt wie auch UDP und TCP auf der IP Schicht auf.
Nein, das ist nicht richtig.
Nachzulesen hier: http://www.computerguru.net/tech/netw15.htm oder auch hier: http://www.cisco.com/univercd/cc/td/doc/cisintwk/ito_doc/ip.htm oder im Vergleich mit DOD (wo es zu Schicht 2 gezählt wird) auch hier: http://www.netplanet.org/aufbau/schichtenmodell.shtml
ICMP rangiert auf einer Ebene mit IP (OSI Schicht 3, Network Layer). OSI Schicht 4 ist Transport Layer, da hast du bswp. TCP/UDP.
Bubble
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.