PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Meine FW block ssh



rdldom
19.07.02, 16:53
Hallo,
ich habe unter SuSE 7.3 eine FW mit ipchains aufgebaut.
Egal ob ich http, ftp, email oder sonst was machen, funktioniert die fw.
Will ich aber eine Verbindung zu einem externen PC mit ssh aufbauen, block meine fw dies:

Jul 19 16:32:48 bobo kernel: Packet log: input DENY ppp0 PROTO=6 externer PC:22 mein PC:1023 L=60 S=0x00 I=33010 F=0x4000 T=50 (#9).

Meine FW ist so aufgenbaut:

---
#!/bin/bash
. /etc/rc.config
return=$rc_done

case "$1" in
start)
echo -n "Starting firewall"

echo 1 > /proc/sys/net/ipv4/ip_forward

echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

ipchains -F

ipchains -P input DENY
ipchains -P forward DENY
ipchains -P output DENY

ipchains -A input -i lo -j ACCEPT
ipchains -A output -i lo -j ACCEPT

ipchains -A input -i eth0 -s 192.168.2.0/24 -j ACCEPT
ipchains -A output -i eth0 -s 192.168.2.0/24 -j ACCEPT

ipchains -A input -s 192.168.2.0/24 1024: -p tcp -i eth0 -j ACCEPT

ipchains -A forward -s 192.168.2.0/24 1024: -p tcp -i ppp0 -j MASQ

ipchains -A input -j ACCEPT -p tcp -s 0.0.0.0/0 -d 0.0.0.0/0 22
ipchains -A input -j ACCEPT -p tcp -s 0.0.0.0/0 22 -d 0.0.0.0/0

ipchains -A output -s 0.0.0.0/0 1024: -p tcp -i ppp0 -j ACCEPT

ipchains -A input -s 192.168.2.0/24 1024: -p udp -i eth0 -j ACCEPT
ipchains -A forward -s 192.168.2.0/24 1024: -p udp -i ppp0 -j MASQ
ipchains -A output -s 0.0.0.0/0 1024: -p udp -i ppp0 -j ACCEPT

ipchains -A input -d 0.0.0.0/0 1024: -p tcp -i ppp0 -j ACCEPT ! -y
ipchains -A output -d 192.168.2.0/24 1024: -p tcp -i eth0 -j ACCEPT ! -y

ipchains -A input -d 0.0.0.0/0 1024: -p udp -i ppp0 -j ACCEPT
ipchains -A output -d 192.168.2.0/24 1024: -p udp -i eth0 -j ACCEPT

ipchains -N icmp-acc

ipchains -A icmp-acc -p icmp --icmp-type echo-reply -j ACCEPT
ipchains -A icmp-acc -p icmp --icmp-type echo-request -j ACCEPT
ipchains -A icmp-acc -p icmp --icmp-type destination-unreachable -j ACCEPT
ipchains -A icmp-acc -p icmp --icmp-type source-quench -j ACCEPT
ipchains -A icmp-acc -p icmp --icmp-type time-exceeded -j ACCEPT
ipchains -A icmp-acc -p icmp --icmp-type parameter-problem -j ACCEPT

ipchains -A input -p icmp -j icmp-acc
ipchains -A forward -p icmp -j MASQ
ipchains -A output -p icmp -j icmp-acc

ipchains -A input --sport 20 -d 0.0.0.0/0 1024: -p tcp -i ppp0 -j ACCEPT
ipchains -A output --sport 20 -d 192.168.2.0/24 1024: -p tcp -i eth0 -j ACCEPT
---

Was muß ich noch machen, damit ich per ssh auf externe System komme?

Danke und Gruss Frank

Harry
19.07.02, 19:26
Hallo,

vermutlich reserviert Dein ssh-Client für die ausgehende Verbindung einen Port <1024.
Solche Verbindungen läßt Du über die forward-chain auch nicht durch.

Versuche mal ssh mit der Option "-P" aufzurufen; in dem Fall reserviert der ssh-Client explizit einen nicht-privilegierten Port also > 1023 und die Firewall läßt den Connect durch.

Harry

rdldom
19.07.02, 20:31
Hi,

danke das war es . Mit -P klappt es endlich.

Gruss Frank