Archiv verlassen und diese Seite im Standarddesign anzeigen : iptables
Hi , mich kann keiner anpingen von aussen genauso wenig auf mein ftp server...
dann habe ich den befehl "iptables -A input -p icmp -j ACCEPT" rein gemacht... dann kommt abeer das "iptables v1.2.6a: can't initialize iptables table `filter': iptables who? (do you need to insmod?) " bitte erklär mir einer wie ich es machen kann das mein ftp server und http server geht...
detonation997
28.09.02, 10:12
...dein Kernel überhaupt iptables-Support hat bzw. damit kompiliert ist?
Wenn nicht, dann schau einmal das an:
http://www.ibiblio.org/pub/Linux/docs/HOWTO/other-formats/html_single/Masquerading-Simple-HOWTO.html
Unter Punkt 3 findest du das, was der Kernel braucht, wenn du mit iptables fast alles machen willst (incl. Routing).
Verwendest du vielleicht Masquerading?
mfg Rainer
Thomas Mitzkat
28.09.02, 10:16
wenn dich keiner anpingen und du niemanden anpingen kannst, kann es nichts mit iptables zu tun haben, wenn keine firewall läuft. also
1. firewall abschalten und damit nicht in einer bestehenden fw neue regeln aufsetzen.
oder.
2. das netzwerk erst mal richtig konfigurieren.
Also ich kann alles anpingne nun und er funzt auch als router bestenst.. bloss das problem ist.. keiner mich :(( wie deaktivere ich die firewall??? habe debian woody 3.0 standard! nix weiter installiert!
detonation997
28.09.02, 12:18
#!/bin/sh
EXTERNALIP=`ifconfig eth1 | grep inet | cut -d ' ' -f 12 | cut -d ':' -f 2`
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to $EXTERNALIP
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 31
28
iptables -A INPUT -m state --state ESTABLISHED,RELATED -i eth1 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -i eth1 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -i eth1 -j ACCEPT
iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED,INVALID -i ! eth1 -j
ACCEPT
iptables -P INPUT DROP
iptables -A FORWARD -i eth1 -o eth1 -j REJECT
========================================
Das hab ich mir selber zusammengestöpselt; damit kann dich keiner pingen, aber eine ftp-Verbindung aufbauen (passiv). Mit der Postrouting-Anweisung realisiere ich meinen Router und mit der Prerouting-Anweisung leite ich alle http-Anfragen direkt durch den Squid-Proxy-Cache (man muss also keinen Proxy mehr im Webbrowser einstellen).
eth1 ist meine Netzwerkkarte zum Internet
eth0 ist die zum lokalen Netzwerk
soll man dich jetzt noch von außen pingen können, musst du noch:
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
nach der
iptables -A INPUT -p tcp --dport 21 -i eth1 -j ACCEPT
Anweisung einfügen.
Hoffe das hilft dir :)
mfg Rainer
wenn du nur die firewall (iptables?? sicher?)
deaktivieren willst sollte das reichen:
iptables -t nat -F
iptables -t nat -X
iptables -F
iptables -X
iptables -P INPUT ACCEPT
iptables -P OUPUT ACCEPT
iptables -t nat -A OUTPUT ACCEPT
AFAIK sollte das reichen.
wenn du allerdings eine firewall auf ipchains basierend hast,
musst du das anders machen.
danke für eure antworten.. aber sie helfen mir nicht wirklich...
da wenn ich eure befehle eingebe kommt immer das iptables v1.2.6a: can't initialize iptables table `nat': iptables who? (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
Wo muss das script hinn...??? und wie führe ich es aus?danke schön!
ahja noch so nebnebei sollte auch shell gehen.. und http :)
aso ja habe ipchains denke ich !
welches firewall-script uset er von den ??
server:/etc/ppp# ls /etc/ppp
chap-secrets ip-up ppp_on_boot
chap-secrets-bak ip-up.d ppp_on_boot.dsl
firewall-masq no_ppp_on_boot pppoe-server-options
firewall-masq-3.5 options pppoe-server-options-example
firewall-standalone options.ttyXX pppoe.conf
firewall-standalone-3.5 pap-secrets pppoe.conf-3.5
ioptions pap-secrets-bak pppoe.conf-bak
ip-down peers resolv
ip-down.d plugins resolv.conf
detonation997
28.09.02, 15:46
Ich glaub der Hinweis "do you need to insmod" weißt darauf hin, dass dein Kernel entweder iptables (Kernel 2.4) oder ipchains (Kernel 2.2) nicht unterstützt!!!
Lies das Masquerading Simple Howto und kompilier den Kernel so wie dort beschrieben!
Bevor du die Fehlermeldung nicht wegbekommst, wird sich nicht viel tun....
mfg Rainer
Thomas Mitzkat
28.09.02, 15:54
wenn das paketfiltering nicht durch den kernel unterstützt wird, kann auch keine filterregel die pings abhalten.
mmh.. ??? eins muss ja gehen ;) sonst würde ja anpingen gehen...
aber ipchains scheint zu funzen.. automatisch nach der installation von woody..
Welches script nutzt den ipchains ??? firewall-masq ??? oder standalone ???
Oder wie deaktivere ich sie ???
Weil dann hau ich iptables rauff!
Thomas Mitzkat
28.09.02, 16:01
für iptables brauchst du einen 2.4er kernel.
was gibt denn "ipchains -L" aus?
also wenn packete nicht durchgehen und iptables immer was mit insmod von sich
gibt verwendest du ipchains.
Wie man da die Rules flusht weiß ich nicht.
ipchains spuckt das aus
# ipchains -L
Chain input (policy ACCEPT):
Chain forward (policy ACCEPT):
Chain output (policy ACCEPT):
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.