PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : IPtables Internet erlauben



Schanror
18.09.15, 08:47
Moin Community,
erstmal muss ich sagen das der Captcha richtig ******e zu lesen ist... saß 5 min an dem blöden Ding -__-"!
So jz zu meinem Problem, ich habe eine DMZ, sprich 2 Linuxrechner die jeweils als Firewall dienen, dazwischen hängt mein Webserver.
Dazu muss ich sagen das die beiden Firewalls auch routen (funktioniert auch alles!). So nun habe ich einige iptables-Regeln erstellt welche z.B. ssh von bestimmten Rechnern in meinen eigenen Netz erlauben etc. Ich probiere seit ein paar Stunden, das Internet für einen bestimmten PC freizugeben. Nun habe ich testweise einfach mal die ports 80 (http) und 443 (https) komplett freigeben. Aber der Rechner kommt trotzdem nicht ins Internet???
Hier mein Skript, wobei ich das obere nicht reinpacke (funktioniert ja) ganz oben habe ich eingetragen, das alles was nicht erlaubt wird gedroppt werden soll.

iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp --sport 80 -j ACCEPT
iptables -A FORWARD -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -p tcp --sport 443 -j ACCEPT

Was mache ich nun falsch?
Vielen Dank im vorraus!
-LG Schanror

marce
18.09.15, 09:34
Was mache ich nun falsch?
Du postest zu wenig Infos.

... also bitte Logs, komplette Konfigs, Befehle, Ausgaben, Fehlermeldungen aller beteiligten Systeme. Und ggf. ein Netzschema, also sowas wie

PC -> FW 1 -> [DMZ] -> FW 2 -> Internet und noch ein paar interessante Infos...

In den Firewalls sollte ja sicherlich rigendwo auch geloggt werden, was die so tun.

Schanror
18.09.15, 09:49
20897
20898
20899

Hoffe das genügt! also es kommt beim log nicht mal was durch (außer ssh von meinem Rechner aus) und Zugriff (intern) auf dem Webserver klappt auch. Muss dazu sagen das Firewall01 noch gar nicht konfiguriert wurde, also der routet bis jz nur weil ich erstmal firewall02 hinbekommen möchte.
Benutze Debian und das Netz ist in 4 Subnetzen unterteilt! Alle PCs besitzen keine GUI.

Schanror
18.09.15, 10:11
... mir ist erst jetzt eben mein Fehler aufgefallen... Kein DNS erlaubt = www.google.de kann nicht aufgerufen werden...
Wie funktioniert das wenn ich jetzt den DNS von Google (8.8.8.8) eintragen lassen möchte? Oder funktioniert das erst überhaupt nicht da er nicht an meinen lokalen Netz hängt?

Weil nun taucht das hier auf wenn ich mit lynx probiere auf heise.de zu zugreifen:
20900

marce
18.09.15, 10:15
naja, entweder Du lässt DNS-Abrfragen durch oder Du stellst einen DNS-Server zur Verfügung.

Welches ist denn der PC, der "nicht geht"? Was sind die SWO-Teile? Wo hängt Dein Internet dran?

... und Konsolenausgaben darfst Du gerne in [code]-Tags posten anstatt als Bild - dann kann man das nämlich auch lesen und ggf. durchsuchen. Und Quoten. Und und und...

Schanror
18.09.15, 10:26
OK sorry bin neu , eigentlich ist der DNS - Eintrag nicht so wichtig, aber ich verstehe die Fehlermeldung nicht ganz? ich komme jz zwar laut meines Iptables -L -v durch, aber trotzdem bekomme ich keine Seite angezeigt. Ich probiere es momentan an Pcintern01, aber ist eigentlich egal welcher von den internen PC nicht geht, weil ich erstmal probiere das es überhaupt geht, habe die Ports ja komplett geöffnet, dies soll sich natürlich später noch ändern! Der Rest ist bissel schwer zu erklären weil mein Netz nur ein virtuelles ist, das ist quasi eine Übung! :) Vielen Dank für deine Rückmeldungen :)
Also ich will jetzt erreichen das mir irgendeine Webseite angezeigt wird.

Schanror
18.09.15, 10:40
OK habs geschafft... man was ist nur los mit mir... Hab vergessen das DNS-Request meistens über UDP laufen = Iptables-Eintrag geändert = läuft jz alles!
Werde jetzt versuchen das Internet "gezielt" zu öffnen, aber denke das schaffe ich schon alleine. An dieser Stelle vielen Dank das du mir helfen wolltest :))
Und sorry für die Umstände... hätte ich vorher richtig nachgedacht -_-" saß 5 Stunden jz an dem kleinen Problem :(( Wie kann ich das als "gelöst" markieren? :D

Schanror
18.09.15, 11:23
Weiteres Problem tritt jz auf :( :
Probiere gerade die Firewall01 zu konfigurieren, nun habe ich meine alte Datei von Firewall02 als "Muster genommen" , ich habe also die Grundeinstellungen der Datei übernommen, wenn ich jz versuche die Firewall-Datei zu starten kommt folgende Fehlermeldung:
iptables : Bad built-in chain name. Das Problem liegt wohl bei einen von denen, da, wenn ich sie auskommentiere, es funktioniert! :

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

Was ist daran falsch?
Hoffe das irgendwer sich das überhaupt durchliest :/ Danke im vorraus!

marce
18.09.15, 11:31
Das ist die komplette Fehlermeldung?

Schanror
18.09.15, 11:34
Ja ist die komplette Fehlermeldung .. heute läuft doch alles falsch, hab den Fehler gefunden! Schön blöd wenn man anstatt OUTPUT , OUPUT schreibt... man ey sorry nochmal wegen den unnötigen Zeug hier! :( Schreibe jz lieber gar nix mehr!