verständnisporblem mit iptables [Archiv] - linuxforen.de -- User helfen Usern

Archiv verlassen und diese Seite im Standarddesign anzeigen : verständnisporblem mit iptables

shb

04.03.08, 08:32

hi leute ich will mit iptables nur www,ftp,mail, u.ä. durchlassen, sowie eine transparenten proxy

so sieht meine firewall im moment aus

#!/bin/bash
iptables -F
iptables -F -t nat
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -A POSTROUTING -j MASQUERADE
iptables -P FORWARD DROP

#x40
iptables -A FORWARD -s 192.168.1.6 -j ACCEPT
iptables -A FORWARD -d 192.168.1.6 -j ACCEPT
#iptables -A FORWARD -p udp --dport 53 -d 192.168.1.6 -j ACCEPT
#iptables -A FORWARD -p udp --sport 53 -s 192.168.1.6 -j ACCEPT
#iptables -A FORWARD -p tcp --dport 53 -d 192.168.1.6 -j ACCEPT
#iptables -A FORWARD -p tcp --sport 53 -s 192.168.1.6 -j ACCEPT
###
#iptables -A FORWARD -p tcp --dport 80 -d 192.168.1.6 -j ACCEPT
#iptables -A FORWARD -p tcp --sport 80 -s 192.168.1.6 -j ACCEPT
#iptables -A FORWARD -p udp --dport 80 -d 192.168.1.6 -j ACCEPT
#iptables -A FORWARD -p udp --sport 80 -s 192.168.1.6 -j ACCEPT
#iptables -A FORWARD -p tcp --dport 3128 -d 192.168.1.6 -j ACCEPT
#iptables -A FORWARD -p tcp --sport 3128 -s 192.168.1.6 -j ACCEPT
#iptables -A FORWARD -p udp --dport 3128 -d 192.168.1.6 -j ACCEPT
#iptables -A FORWARD -p udp --sport 3128 -s 192.168.1.6 -j ACCEPT

iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

echo 1 > /proc/sys/net/ipv4/ip_forward

mit der obigen einstellung komme ich problemlos ins internet, wenn ich allerding anstatt der obigen freigabe die darunterliegenden ports frei geben, komme ich nicht mehr ins netz, obwohl da ich dns und www und port 3128 für den transparenten proxy freigegeben habe.

wo liegt das problem bzw. was ist falsch?

thx cu SHB

derRichard

04.03.08, 10:24

hi!

was ist das problem?
sollen wir das skript für dich schreiben? :P

//richard

shb

04.03.08, 11:22

neee, die frage ist, warum ich so mit der einstellung

iptables -A FORWARD -p udp --dport 53 -d 192.168.1.6 -j ACCEPT
iptables -A FORWARD -p udp --sport 53 -s 192.168.1.6 -j ACCEPT
iptables -A FORWARD -p tcp --dport 53 -d 192.168.1.6 -j ACCEPT
iptables -A FORWARD -p tcp --sport 53 -s 192.168.1.6 -j ACCEPT
iptables -A FORWARD -p tcp --dport 80 -d 192.168.1.6 -j ACCEPT
iptables -A FORWARD -p tcp --sport 80 -s 192.168.1.6 -j ACCEPT
iptables -A FORWARD -p udp --dport 80 -d 192.168.1.6 -j ACCEPT
iptables -A FORWARD -p udp --sport 80 -s 192.168.1.6 -j ACCEPT
iptables -A FORWARD -p tcp --dport 3128 -d 192.168.1.6 -j ACCEPT
iptables -A FORWARD -p tcp --sport 3128 -s 192.168.1.6 -j ACCEPT
iptables -A FORWARD -p udp --dport 3128 -d 192.168.1.6 -j ACCEPT
iptables -A FORWARD -p udp --sport 3128 -s 192.168.1.6 -j ACCEPT

nicht ins netz komme

honkstar

07.03.08, 12:26

Vielleicht steckt das Netzwerkkabel nicht
*scnr*

Ohne ein paar weitere Infos ist das Fischen im Trüben.
Wie sieht dein Netz aus, was geht, was geht nicht, geht ein ping ...

Gruß
Daniel

shb

11.03.08, 15:37

ok ich versuche es nochmal

ich möchte jeden port für jede ip in der firewall (beim port forwarding) explizit freischalten.
also hab ich erstmal alles grdropt

iptables -P FORWARD DROP

und dann habe ich für die ip 192.168.1.6 die ports 53 und 80 jewals udp und tcp freigeschaltet:

iptables -A FORWARD -p udp --dport 53 -d 192.168.1.6 -j ACCEPT
iptables -A FORWARD -p udp --sport 53 -s 192.168.1.6 -j ACCEPT
iptables -A FORWARD -p tcp --dport 53 -d 192.168.1.6 -j ACCEPT
iptables -A FORWARD -p tcp --sport 53 -s 192.168.1.6 -j ACCEPT
###
iptables -A FORWARD -p tcp --dport 80 -d 192.168.1.6 -j ACCEPT
iptables -A FORWARD -p tcp --sport 80 -s 192.168.1.6 -j ACCEPT
iptables -A FORWARD -p udp --dport 80 -d 192.168.1.6 -j ACCEPT
iptables -A FORWARD -p udp --sport 80 -s 192.168.1.6 -j ACCEPT

leider öffnet sich nach dieser einstellung keine webseite
nein es geht kein ping, wie auch? ist ja nicht freigeschaltet
wie soll mein netz aussehen?
ist nen normales netzwerk.
wenn ich die obige einstellung auf

iptables -A FORWARD -s 192.168.1.6 -j ACCEPT
iptables -A FORWARD -d 192.168.1.6 -j ACCEPT
ändere komme ich ja ins netz und da geht alles, ping, imap,pop,mail ....
ist ja auch logisch sind ja alle ports frei gegeben

ich hoffe das die ausführung jetzt genauer war und das mir nun jemand weiter helfen kann

cu SHB

zerix

14.03.08, 08:08

Hallo,

du bekommst ja auch antworten, wenn du surfen möchtest. Also, wenn du eine Anfrage stellst an einen Web-Server, bekommst du ja ne Antwort von dem. Du weißt aber nicht auf welchen Port und du hast bei dir grob gesagt nur Port 80 freigegeben. Ein Browser sendet die Anfrage zwar auf Port 80, aber die Anfrage kommt nicht von Port 80. Der muss ja frei bleiben, falls du auch einen Web-Server hast.

Schreib die Zeile mal dazu. Ich kann es leider nicht testen.

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

MFG

zEriX