ich bin jetzt den ganzen nachmittag gesessen, und hab mir ein FW-Script geschrieben.

die FW soll auf einem router/fileserver/proxy/ftp-server laufen (ich weiß dass das nicht ideal ist).
das vom lan sollen vorerst mal alle verbindungen zum router möglich sein.

nun mein problem:

ich wollet das script starten (nachdem ich alle fehlermeldungen beseitigt habe), aber danach ist NICHTS mehr gegangen.
ich kann den router nicht mehr vom lan pingen, und ich kann nicht mal mehr vom router weg pingen.
wenn ich am router den befehl ping eingebe (egal welche IP, auch das loopback) kommt die fehlermeldung "ping: sento: Operation not permitted"
ich kann auch nicht mehr die default regeln für die firewall laden (also alle löschen, und dann überall ACCEPT), das einzige was danach noch hilft ist ein reboot.
das kann doch nur am loopback liegen, oder?

aber es sollte freigegeben sein, siehe anhang ...

das soetwas in der Art in deinem Script fehlt ? --> $IPTABLES -t nat -A OUTPUT -i lo -j ACCEPT.
Das Looback ist auch fuer die internen Sockets zustaendig.
http://www.linuxia.de/lt-netfilter.en.html#nat
Deshalb vieles *funct* nicht mehr auf der Kiste.

T;o)Mes

ich verstehe nicht war ich beim loopback nat brauchen soll?

ich habe fongende 2 regeln drinnen:

$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT

das sollte ja normalerweise genügen !?

NAT

Dies ist das Koenigreich der NAT-Tabelle, welche mit Paketen von drei Netfilter-Hooks gefuettert wird: fuer nicht-lokale Pakete sind fuer Quell- und Zielveraenderungen jeweils der NF_IP_PRE_ROUTING und der NF_IP_POST_ROUTING Hook perfekt. Um das Ziel von lokalen Paketen zu veraendern, wird der NF_IP_LOCAL_OUT Hook verwendet.

Also wenn du da deny hast, kann kein local generiertes Paket weitergeleitet werden. --> http://www.netfilter.org/documentation/index.html#HOWTO

Schau dir auch mal genau das Diagramm an, dann wirst du hoffendlich sehen warum beim Loopback nat Regeln zur Anwendung kommen -->
http://www.netfilter.org/documentation/HOWTO/de/NAT-HOWTO-5.html

T;o)Mes

ok jetzt funktioniert es :)

ich hab jetzt einfach die default einstellung für die nat und mangle tabellen weggelassen.
das sollte ja kein problem sein, den so wie ich das konzept jetzt verstandenhabe sollen ja alle pakete durch die nat tabelle können, sie werden ja eh dann beim input bzw. output gefiltert.

naja, das buch "Linux-Firewalls - Konzeption und Implementierung für Netzwerke und PCs" von Robert L. Zeigler kann ich nicht empfehlen!

1.) wenn man die firewall so aufbaut wie er empfiehlt funktioniert nichts mehr.
2.) verwendet er nur wenige der neuen funktionen von iptables (stichwort ftp: er erstellt regeln, wie man sie mit ipchains schon gemacht hat, obwohl man da mit "stat" eine viel höhere sicherheit erreichen kann). im allgemeinen schaut es für mich aus wie ein buch über ipchains, bei dem nur mal schnell alle ipchains regeln nach iptables konvertiert worden sind ...
3.) sind mir einige fehler aufgefallen (er elaubt vorher was mit einer allgemeinen regel, und gleich mit der regel darauf will er das gleiche nochmal erlauben für eine genauer spezifiziertes paket - somit kommt diese regel nie zur anwendung) ...

ich war auch ne ganze Weile auf der Suche, bis ich einigermassen durchgesen habe.
Die beste Seite dazu, wenn auch ein wenig "verworen", ist die von netfilter.
Hier noch ein paar Seiten die mir beim Umstieg von ipchains zu iptables geholfen haben.
http://www.tu-chemnitz.de/linux/Dokumentation/redhat-7.2/RH-DOCS/de/rhl-rg-de-7.2/s1-iptables-options.html
http://www.mueller-ag.ch/linux/linux_fw_gw.htm
http://joerg.fruehbrodt.bei.t-online.de/netfilter.html

das sollte ja kein problem sein, den so wie ich das konzept jetzt verstandenhabe sollen ja alle pakete durch die nat tabelle können, sie werden ja eh dann beim input bzw. output gefiltert.
solange du das nicht brauchst, sollte das kein Problem sein ;)

T;o)Mes

Original geschrieben von tomes

solange du das nicht brauchst, sollte das kein Problem sein ;)


wie meist du "solange du es nicht brauchst"?

ich verwende masquerading und dnat.
aber wenn ich die defaulteinstellung von nat auf accept lasse solle ich dadurch ja keinen sicherheitsnachteil bekommen?

1. solange du kein sensibles, gut zu schuetztendes System dahinter (Firewall) hast.
Ansonsten gibt mit den "default" schon einige Sicherheitseinschraenkungen.
2. du z.B. kein mangle fuer mehrere IP`s brauchst, du also nicht mehrere offizelle IP's hast.

Wenn Du die Quelladresse weglaesst, wird jegliche Adresse zutreffend sein. Wenn Du die Zieladresse weglaesst, wird jegliche Zieladresse zutreffend sein.

T;o)Mes

Hallo Tomes
die Seiten die du empfohlen hast haben mir sehr gut gefallen, endlich mal etwas kompakter zusammengefasst die Materie.
Seiten zu dem Thema gibt es ja genug, aber nicht alle sind sehr verständlich aufgebaut. :(