Hallo zusammen!!

nur mal ne kurze Frage: greifen Änderungen an den iptables sofort oder erst, nachdem sie neu initialisiert bzw. der Rechner neu gestartet worden ist??

Dank euch!
greetinx
spencer

Die Änderungen sind sofort wirksam.

Grüß dich!

Danke für die Antwort. Aber dann besteht mein Problem weiterhin. Ich will über die Firewall ne Telnet-Verbindung zu ner IP und Port 259 aufmachen. Aber leider schlägt das Verbinden fehl...

Ich hab das über FORWARD eingetragen, in beide Richtungen.

Kannst du mir da weiterhelfen??

Danke!
Gruß
spencer

da wirst Du schon mal Dein iptables script "posten" müssen (zumindest die relevanten Teile), sonst wird Dir keiner helfen können ...

Es ist entscheidend in welcher Reihenfolge IPTABLES-Regeln gesetzt werden.

so, hier hab ich mal den entsprechenden Abschnitt (sofern es da überhaupt reingehört):

Chain FORWARD (policy DROP)
-snip-
ACCEPT all -- 192.168.100.0/24 53.198.11.1
ACCEPT all -- 53.198.11.1 192.168.100.0/24
-snap-

das mit der Reihenfolge weiß ich, es greift immer die Regel, die am Ende der Chain steht. Ist hier auch so. Ich hab die Regeln mit "iptables -A" angehängt.

Gruß
spencer

Und entscheidend ist auch, ob die iptables bei dir auf einem Software-Router laufen oder direkt auf dem Rechner, von dem aus du verbinden willst. Wenn letzteres, dann musst du's in die INPUT- und die OUTPUT-Kette eintragen.

Nein, nein, das läuft schon auf dem Server.
...denk ich doch...

...aber was mir grad aufgefallen ist:


TCPMSS tcp -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
forward_ext all -- anywhere anywhere
forward_int all -- anywhere anywhere
LOG all -- anywhere anywhere
DROP all -- anywhere anywhere
ACCEPT all -- anywhere anywhere

...das steht in der Chain direkt über den von mir eingetragenen Zeilen. Das würde ja heißen, dass das Paket bei DROP all bereits verworfen wird und mein Regel gar nicht mehr angewendet wird oder??

greetinx

Hmm, das ist alles nocht nicht so aussagekräftig, aber ich vermute, daß Du ein Problem mit NAT/MASQUERADING hast.

poste mal die Ausgabe von

iptables -L -n -v
und
iptables -t nat -L -n -v

die ganze???

hier die Ausgabe vom Nat:

Chain PREROUTING (policy ACCEPT 15026 packets, 991K bytes)
pkts bytes target prot opt in out source destination
3 144 REDIRECT tcp -- * * 192.168.100.0/24 0.0.0.0/0 tcp dpt:53 redir ports 53
363 21960 REDIRECT udp -- * * 192.168.100.0/24 0.0.0.0/0 udp dpt:53 redir ports 53

Chain POSTROUTING (policy ACCEPT 6865 packets, 433K bytes)
pkts bytes target prot opt in out source destination
7960 386K MASQUERADE all -- * eth0 192.168.100.0/24 0.0.0.0/0

Chain OUTPUT (policy ACCEPT 6322 packets, 379K bytes)
pkts bytes target prot opt in out source destination

Dann müssen wir noch mal zu Posting #9 zurückkommen:



TCPMSS tcp -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
forward_ext all -- anywhere anywhere
forward_int all -- anywhere anywhere
LOG all -- anywhere anywhere
DROP all -- anywhere anywhere
ACCEPT all -- anywhere anywhere


Die Ausgabe sollte mal erweitert werden ... so wie es gelistet ist, würde kein Paket über die Zeile 3 hinauskommen. Ich nehme mal an, da gibt es weitere Kriterien, die aber in der Standardausgabe nicht angezeigt werden.

Kannst Du den obigen Teil noch mal mit "-v" posten (mir pers. wäre es auch lieber, wenn zus. mit "-n" ... und bitte mit CODE-Tags - das erhöht die Lesbarkeit.

Gruß,
Gipsy

so:

Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
3 156 ACCEPT all -- * * 192.168.100.0/24 53.198.11.1
0 0 ACCEPT all -- * * 53.198.11.1 192.168.100.0/24
30194 1438K TCPMSS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU
12818 1481K ACCEPT all -- eth1 eth1 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- eth0 eth0 0.0.0.0/0 0.0.0.0/0
167K 127M forward_ext all -- eth0 * 0.0.0.0/0 0.0.0.0/0
152K 36M forward_int all -- eth1 * 0.0.0.0/0 0.0.0.0/0
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 6 level 4 prefix `SuSE-FW-UNALLOWED-ROUTING'
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 6 level 4 prefix `SuSE-FW-FORWARD-ERROR'


...das ist der Teil mit den Schaltern -n -v

Gruß

Also raus gehen Deine Pakete ja offensichtlich, aber Antworten kommen nicht zurück.

Wenn Du einen Telnet auf den Port 259 (sieht mir irgendwie nach ACE Auth aus) machst, kannst Du mal die Pakete auf dem äußeren IF Deiner Firewall mitscheiden?

So wie ich die Sache sehe ist eth0 Dein "äußeres" IF:
tcpdump -nn -i eth0 "host 53.198.11.1"

P.S.: Was hast Du für eine Verbindung nach außen? Reines eth oder dsl oder ...?

Grüß dich!

das is ne 2m/bit Standleitung.

da steht folgendes:

11:47:49.144200 195.145.133.220.3397 > 53.198.11.1.259: S 416167978:416167978(0)
win 25200 <mss 1260,nop,wscale 0,nop,nop,sackOK> (DF)

11:47:52.101871 195.145.133.220.3397 > 53.198.11.1.259: S 416167978:416167978(0)
win 25200 <mss 1260,nop,wscale 0,nop,nop,sackOK> (DF)

11:47:58.110435 195.145.133.220.3397 > 53.198.11.1.259: S 416167978:416167978(0)
win 25200 <mss 1260,nop,wscale 0,nop,nop,sackOK> (DF)

Gruß
spencer

Ja, Deine Pakete gehen offensichtlich raus, aber Du erhälst keine Antworten darauf. Eigentlich müßte das erste Antwortpacket eins sein, mit den Flags SYN und ACK gesetzt, das ist die korrekte Antwort auf Deine SYN-Pakete, aber Du erhälst gar nichts zurück.

Ich sehe da z.Zt. folgende mögliche Fehlerursachen:
- Der Zielserver hat Deine Source IP nicht erlaubt und ignoriert Deine Anfrage (es kommt ja noch nicht einmal ein Reset-Paket)
- Der Zielserver kennt keine Route zurück zu Dir

In der Annahme, der Zielserver steht im Internet, habe ich mir mal erlaubt ebenfalls eine Verbindung auf diesen Server Port 259 aufzubauen und habe ebenfalls keine Antwort erhalten ... wenn es ein Dienst ist, auf den Du zugreifen mußt, solltest Du Dich mit dem Admin dort in Verbindung setzen.

Gruß,
Gipsy

P.S.: der Ruleset den offensichtlich die SuSE-FW da generiert ist grauenvoll :eek:

hmmm... ist ja soweit einleuchtend! Dann werd ich das mal nachprüfen.

und warum sehen die Regeln grauenvoll aus?

Gruß
spencer

Tja, ich will hier jetzt keinen Roman schreiben oder große Philisophie-Diskussionen vom Zaun brechen aber (ich kann mich nur auf den Teil beziehen, den Du gepostet hast):

- eine Firewall sollte das "Prinzip des Minimalismus" verfolgen: (es leben die Anglizismen) "as tight as possible", das ist bei den aufgeführten Regeln definitiv nicht der Fall
- Spoofing ist Tür und Tor geöffnet
- Das Feature "stateful inspection" wird nicht genutzt
- Das externe IF kann als "Forwarder" benutzt werden
...

Alles - wie gesagt - nur aufgrund des Ausschnitts. Habe ja nicht alles gesehen, kann sein das da einiges besser ist, aber wenn das so weiter geht, kann ich nur sagen: "gelbe Seiten" :) ... Für den privaten Einsatz mag es noch akzeptabel sein (mir käme es jedoch auch für privat nicht ins Haus)

cu,
Gipsy