Hallo
ich habe ein Iptables Script laufen. Wenn ich nun die ports 25 110 und 143 öffne steht wenn ich inmap -p 25 localhost mache da, dass der port noch zu ist.
Wie bekomme ich diese ports auf???

iptables:
iptables -A INPUT -i eth0 -m state --state NEW -p tcp 25 --dport 25 -j ACCEPT

was ist daran falsch. Die anderen Ports sind ja auch offen.

Danke für antworten

passt nicht ganz zu deiner frage, aber kennst du evtl. webmin? www.webmin.com darüber kannst du unter anderem sehr gut iptables verwalten.

danke webmin kenne ich aber ich bekomme einfach verschieden ports nicht auf.

Die Regel ist korrekt.
Ich poste mal meins für Port 22:


# SSH
iptables -A INPUT -i eth0 -m state --state NEW -p tcp --dport 22 -j ACCEPT


nmap -p 22 127.0.0.1

Starting nmap 3.93 ( http://www.insecure.org/nmap/ ) at 2006-01-04 16:02 CET
Interesting ports on localhost.localdomain (127.0.0.1):
PORT STATE SERVICE
22/tcp open ssh

Nmap finished: 1 IP address (1 host up) scanned in 0.059 seconds

Wie sieht denn dein komplettes Script aus?
Was sagt ein
iptables -nL?

Grüße
DaGrrr

also ich habe das Script von harry.homelinux.org erstellen lassen.
mein firewall script:


case "$1" in
start)
echo "Starte IP-Paketfilter"

# iptables-Modul
modprobe ip_tables
# Connection-Tracking-Module
modprobe ip_conntrack
# Das Modul ip_conntrack_irc ist erst bei Kerneln >= 2.4.19 verfuegbar
modprobe ip_conntrack_irc
modprobe ip_conntrack_ftp

# Tabelle flushen
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X

# Default-Policies setzen
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# MY_REJECT-Chain
iptables -N MY_REJECT

# MY_REJECT fuellen
iptables -A MY_REJECT -p tcp -m limit --limit 7200/h -j LOG --log-prefix "REJECT TCP "
iptables -A MY_REJECT -p tcp -j REJECT --reject-with tcp-reset
iptables -A MY_REJECT -p udp -m limit --limit 7200/h -j LOG --log-prefix "REJECT UDP "
iptables -A MY_REJECT -p udp -j REJECT --reject-with icmp-port-unreachable
iptables -A MY_REJECT -p icmp -m limit --limit 7200/h -j LOG --log-prefix "DROP ICMP "
iptables -A MY_REJECT -p icmp -j DROP
iptables -A MY_REJECT -m limit --limit 7200/h -j LOG --log-prefix "REJECT OTHER "
iptables -A MY_REJECT -j REJECT --reject-with icmp-proto-unreachable

# MY_DROP-Chain
iptables -N MY_DROP
iptables -A MY_DROP -m limit --limit 7200/h -j LOG --log-prefix "PORTSCAN DROP "
iptables -A MY_DROP -j DROP

# Alle verworfenen Pakete protokollieren
iptables -A INPUT -m state --state INVALID -m limit --limit 7200/h -j LOG --log-prefix "INPUT INVALID "
iptables -A OUTPUT -m state --state INVALID -m limit --limit 7200/h -j LOG --log-prefix "OUTPUT INVALID "

# Korrupte Pakete zurueckweisen
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A OUTPUT -m state --state INVALID -j DROP

# Stealth Scans etc. DROPpen
# Keine Flags gesetzt
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j MY_DROP

# SYN und FIN gesetzt
iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j MY_DROP

# SYN und RST gleichzeitig gesetzt
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j MY_DROP

# FIN und RST gleichzeitig gesetzt
iptables -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j MY_DROP

# FIN ohne ACK
iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j MY_DROP

# PSH ohne ACK
iptables -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j MY_DROP

# URG ohne ACK
iptables -A INPUT -p tcp --tcp-flags ACK,URG URG -j MY_DROP

# Loopback-Netzwerk-Kommunikation zulassen
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Connection-Tracking aktivieren
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# SSH
#iptables -A INPUT -i eth0 -m state --state NEW -p tcp --dport 22 -j ACCEPT

# HTTP
iptables -A INPUT -i eth0 -m state --state NEW -p tcp --dport 80 -j ACCEPT

# DNS
iptables -A INPUT -i eth0 -m state --state NEW -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -i eth0 -m state --state NEW -p udp --dport 53 -j ACCEPT

# FTP
iptables -A INPUT -i eth0 -m state --state NEW -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -i eth0 -m state --state NEW -p udp --sport 21 -j ACCEPT
iptables -A INPUT -i eth0 -m state --state NEW -p tcp --dport 20 -j ACCEPT

# mail
iptables -A INPUT -i eth0 -m state --state NEW -p tcp --dport 25 -j ACCEPT


# Default-Policies mit REJECT
iptables -A INPUT -j MY_REJECT
iptables -A OUTPUT -j MY_REJECT

;;

stop)
echo "Stoppe IP-Paketfilter"
# Tabelle flushen
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X
# Default-Policies setzen
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;

status)
echo "Tabelle filter"
iptables -L -vn
echo "Tabelle nat"
iptables -t nat -L -vn
echo "Tabelle mangle"
iptables -t mangle -L -vn
;;

*)
echo "Fehlerhafter Aufruf"
echo "Syntax: $0 {start|stop|status}"
exit 1
;;

esac


die ausgabe von nmap -p 25 loclahost


linux:/etc/init.d # nmap -p 25 localhost

Starting nmap 3.70 ( http://www.insecure.org/nmap/ ) at 2006-01-04 17:45 CET
Interesting ports on localhost (127.0.0.1):
PORT STATE SERVICE
25/tcp closed smtp

Nmap run completed -- 1 IP address (1 host up) scanned in 0.176 seconds

läuft auf 25 auch ein service ? Bedeutet closed nicht eigentlich nur, dass der port nicht geblockt wird (also firewall lässt pakete durch) aber kein dienst an ihm lauscht ? Denn wenn die Firewall blocken würde, dann würdest du ja garkeine Antwort also auch kein 'closed' kriegen oder, dann würde das paket ja einfach nur gedroppt werden. 'closed' hingegen ist m.E. eine antwort des systems, welches eben mitteilt, dass kein dienst an dem port lauscht. Korrigiert mich wenn ich falsch liege.

das stimmt allerdings den wenn ich programm starte was einen port belegt dann ist dieser port offen wenn ich das programm schliesse ist der port wieder zu.
ich benutze exim für für meinen mailtransfer. wenn exim gestartet ist dann müsste doch auch der port 25 auf sein???? oder sehe ich das falsch
:confused:

okay der port 25 ist jetzt offen. mein exim ist nicht richtig gestartet.
also ich habe jetzt verstanden wenn kein dienst hinter einem port läuft so wird dieser als geschlossen angezeigt wenn der service gestartet ist dann ist der port auch offen.
danke für die hilfreichen tipps