PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Firewallskript lässt sich nicht komplett starten



LordDarkmage
27.05.05, 12:46
Hi!

Wollte auf meinem Rootserver mein Firewallskript starten, aber es macht mir gerade so den Eindruck, dass er beim Ausführen des Skripts nur bis zum "iptables -P INPUT DROP" kommt und dann ist schluss. Was kann ich da machen???

Thx im Voraus

mave
27.05.05, 13:01
Hi!

Wollte auf meinem Rootserver mein Firewallskript starten, aber es macht mir gerade so den Eindruck, dass er beim Ausführen des Skripts nur bis zum "iptables -P INPUT DROP" kommt und dann ist schluss. Was kann ich da machen???

Thx im Voraus

Kannst du das Script mal bitte Posten und sagen, und ob du fehlermeldungen erhälst??!!?

LordDarkmage
27.05.05, 13:10
iptables -F
iptables -X

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -p tcp -i eth0 -m state --state New --dport 22 -j ACCEPT


Ich erhalte ja keine Fehlermeldung. Die Verbindung scheint ja durch das iptables -P INPUT DROP ja gekillt zu sein. Zumindest glaub ich das. Wenn ich da jetzt weiter spinne, dann behaupte ich, dass der Skript ab da auch nicht weiter ausgeführt wird.

Ich habs nun hier im LAN ausprobiert mit meinem lokalen Server (Debian) über Putty vom Mainrechner aus und da gings. Dann hab ich das Skript raufgeladen und versuchs da und dann gehts nimma. Mit nohup heißt es dann in der nohup.out
iptables: No chain/target/match by that name
iptables: No chain/target/match by that name
iptables: No chain/target/match by that name

LordDarkmage
27.05.05, 21:50
Also die Sache ist die...
Das Skript wird komplett ausgeführt, aber er kann mit dem Regeln nichts anfangen. Er sagt dann "iptables: No chain/target/match by that name". Auf nem Server vom Kumpel funktioniert das aber einwandfrei. Das gleiche Skript. Bei mir @ home ebenfalls. Jemand ne Idee???

Thx
LordDarkmage

canis_lupus
27.05.05, 23:35
Wurde der Kernel mit iptables-Support übersetzt? Wurden auch das ConnectionTracking mit einkompiliert? Was sagt ein iptables -L -v nach dem Start des Scriptes?

P.S.:
"New" muss übrigends komplett kleingeschrieben werden.

LordDarkmage
28.05.05, 09:33
Wurde der Kernel mit iptables-Support übersetzt? Wurden auch das ConnectionTracking mit einkompiliert? Was sagt ein iptables -L -v nach dem Start des Scriptes?
Ich hab mir die kernelconfig angesehen. Da steht zumindest
CONFIG_IP_NF_MATCH_STATE=m
was für mich heißt, dass ich es mit modconf bzw modprobe nachträglich laden kann. Interessanterweise sagt er mir beim Versuch zu laden "modprobe: Can´t locate module ip_contrack".


P.S.:
"New" muss übrigends komplett kleingeschrieben werden.
Sicher? Zumindest hat er sich nicht beschwert, also der lokale Linuxrechner. Im Skript von harry.homelinux.org steht´s aber auch groß drin. :confused:

canis_lupus
28.05.05, 09:49
Blödsinn! Muss natürlich komplett groß geschrieben werden! :eek: Hab einer gewissen Uhrzeit und Leistungsverfall, sollte man nichts mehr schreiben...

Mach doch mal ein iptables -L -v


Hast Du auch alle notwendigen Module (wenn Du netfilter modular konfiguriert hast)?
Siehe: ls -l /lib/modules/$(uname -r)/kernel/net/ipv4/netfilter

LordDarkmage
28.05.05, 10:20
Siehe: ls -l /lib/modules/$(uname -r)/kernel/net/ipv4/netfilter



ip_tables.o
ipt_DSCP.o
ipt_ECN.o
ipt_LOG.o
ipt_MARK.o
ipt_REJECT.o
ipt_TCPMSS.o
ipt_TOS.o
ipt_ULOG.o
ipt_ah.o
ipt_dscp.o
ipt_ecn.o
ipt_esp.o
ipt_length.o
ipt_limit.o
ipt_mac.o
ipt_mark.o
ipt_multiport.o
ipt_pkttype.o
ipt_recent.o
ipt_tcpmss.o
ipt_tos.o
ipt_ttl.o
iptable_filter.o
iptable_mangle.o

hmmmm *kraulimbart*

canis_lupus
28.05.05, 11:58
Ich sehe kein ipt_state und kein ipt_conntrack.
Sicher, das die Kernelkonfig zum aktuellen Kernel passt und Du alles modular hast????
Habe zwar einen 2.6er, aber wenn mich miene Erinnerung nicht täuscht, sollte da nichts gravierendes verändert worden sein.
Ich gehe mal davon aus, das ein lsmod auch keine state/conntrack-Module anzeigt, oder?

LordDarkmage
28.05.05, 12:22
na, ich denke ich muss da jetzt nen anderen Kernel backen. :( Naja, trotzdem danke für deine Hilfe. Zumindest weiss ich jetzt wo der Haken ist.