PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : ...telnet/ftp geht aus dem internet nicht



27.09.00, 23:19
...hallo!

ich hab nach der installation der 6.4er suse und dem adsl-packet
"rp-pppoe-2.3-1.i386.rpm" installiert. im prinzip läuft alles, ich komme von den clients ins netz, alles perfekt.

will ich nun aber aus dem internet einen telnet auf den linuxrechner machen, bekomme ich keinen connect.

in /var/log/messages steht:
Sep 27 22:56:17 dimension kernel: Packet log: input DENY ppp0 PROTO=6 62.225.128.66:1329 212.185.231.3:23 L=60 S=0x00 I=19912 F=0x4000 T=60 SYN (#2)

firewall ist in der rc.config ausgeschaltet, hosts.deny und allow sind auch unverändert...

funktionierte mit suse als isdnrouter ja auch einwandfrei...

einen portscan auf die linuxkiste ergibt aus dem internet keinen einzigen freien port. aus dem internen netz funktioniert alles...

hat jemand 'ne lösung für mich?

schönen gruß
stephan

sschaper
28.09.00, 09:55
Hallo,

ist doch eigentlich ganz gut, wenn Dein Rechner so gut abgeschottet ist http://www.linuxforen.de/ubb/wink.gif

Du hast irgendwo doch noch eine Firewall bzw. ein Script mit ipchains-Befehlen stehen...

Hast Du den Rechner nach dem deaktivieren der Firewall schonmal neu gestartet bzw. /sbin/init.d/firewall stop eingegeben?

Hast Du evtl. pmfirewall im Einsatz (gehabt)?

Schau' mal in der ip-up, ob's da ipchains-Befehle gibt, die den Zugriff blockieren.

Sonst fällt mir auf Anhieb nichts mehr ein...

Gruß,

Sebastian

------------------
Sebastian Schaper
American Book Center Schaper GdbR
http://ABC.Schaper.com

Rot
28.09.00, 09:56
Hi ICE,

Frage : Benutzt du dynamisches IP oder hast du eine feste IP-Adresse ?
Bei route -n wird dir die IP-Adresse angezeigt ,hast du hierfür
eine statische route ?
Manchmal gibts Stress mit der MTU 1500 bei ADSL ,reduziere den
Wert auf 1490 (ifconfig).

MfG
Rot

28.09.00, 14:29
...hallo!

danke für die antoworten!

in der ip-up stehen keine ipchains regeln. ich denke mal, daß die firewall vom "roaring penguin adsl" aufgesetzt worden sind. ich weiß nur nicht, wie ich das jetzt wieder verändern kann?!

ein portscan hinterlässt in der /var/log/messages jedes mal eine ähnliche meldung...

kann ich nicht in der ip-up.local oder ip-up mit ipchains den zugriff auf ftp (port 20/21) und telnet wieder gestatten? ich kämpfe mich gerade durch die howtos, komme aber nicht so recht weiter?

ich weiß auch leider nicht, wo der roaring penguin adsl seine firewall regeln hinschreibt?! sonst könnte ich ja dort weitersuchen...

kann vielleicht jemand mal die ipchain regeln für zugriff auf ftp und telnet posten?

danke
stephan

sschaper
29.09.00, 00:33
Hallo,

@Rot:
daran liegt's wohl nicht, die Meldung

Sep 27 22:56:17 dimension kernel: Packet log: input DENY ppp0 PROTO=6 62.225.128.66:1329 212.185.231.3:23 L=60 S=0x00 I=19912 F=0x4000 T=60 SYN (#2)

kommt aus den Routing/Masquerading/Firewall-Teilen des Kernels, hier wird ganz gezielt eine Anfrage an Port 23 "denied", weil sie durch entsprechende ipchains-Regeln blockiert wird.

Darauf deutet auch die Tatsache hin, daß bei Portscans keine offenen Ports gefunden werden (eigentlich müßte jeder angesprochene Port einen ähnlichen Eintrag in /var/log/messages hinterlassen, oder, ice?).

Beim Versuch, eine Telnet-Verbindung, müßtest Du eine Meldung wie "connection refused" bekommen, oder?

Die Route auf dem Linuxrechner ist in diesem Fall nicht von Belang. Ice versucht ja, vom Internet aus eine Verbindung zum Linuxrechner aufzubauen. Die Route würde interessant, um ein vom Linuxrechner ausgehendes Paket ins Internet zu routen.

Vielleicht löscht Du einmal nach dem Verbindungsabbau alle ipchains-Regeln. Dann dürfte zwar der Zugriff aus dem internen Netz nach außen nicht mehr korrekt funktionieren, aber der Rechner wäre dann "offen". Eventuell brauchst Du dann noch eine generelle "allow"-Regel. Näheres s. ipchains-HOWTO.

Gruß,

Sebastian

sschaper
29.09.00, 09:59
Hallo,

<BLOCKQUOTE><font size="1" face="Arial,Helvetica,Geneva">Zitat:</font><HR>
in der ip-up stehen keine ipchains regeln. ich denke mal, daß die firewall vom "roaring penguin adsl" aufgesetzt worden sind. ich weiß nur nicht, wie ich das jetzt wieder verändern kann?!
[/quote]

Keine Ahnung, hab roaring penguin noch nicht benutzt. Notfalls kannst Du ins ip-up ja einen Befehl reinsetzen, um alle ipchains-Regeln zu löschen. Anschließend natürlich die nicht benötigten Ports wieder abschalten (dafür würde ich pmfirewall empfehlen.

<BLOCKQUOTE><font size="1" face="Arial,Helvetica,Geneva">Zitat:</font><HR>
ein portscan hinterlässt in der /var/log/messages jedes mal eine ähnliche meldung...
[/quote]

Alles klar, also sind ipchains-Regeln aktiv.

<BLOCKQUOTE><font size="1" face="Arial,Helvetica,Geneva">Zitat:</font><HR>
kann ich nicht in der ip-up.local oder ip-up mit ipchains den zugriff auf ftp (port 20/21) und telnet wieder gestatten? ich kämpfe mich gerade durch die howtos, komme aber nicht so recht weiter?
[/quote]

Genau das würde ich machen. Alle Regeln löschen, direkt im Anschluß pmfirewall aufrufen. ipchains-Howto kennst Du?

<BLOCKQUOTE><font size="1" face="Arial,Helvetica,Geneva">Zitat:</font><HR>
ich weiß auch leider nicht, wo der roaring penguin adsl seine firewall regeln hinschreibt?! sonst könnte ich ja dort weitersuchen...
[/quote]

Gibt's da ein Startskript für? Eventuell kannst Du auch einfach mal das Installskript durchsehen, damit müßte es sich nachvollziehen lassen, wo roaring penguin aktiv geworden ist.

<BLOCKQUOTE><font size="1" face="Arial,Helvetica,Geneva">Zitat:</font><HR>
kann vielleicht jemand mal die ipchain regeln für zugriff auf ftp und telnet posten?
[/quote]

Die genauen Regeln für ftp und telnet hängen von Deinen IP-Adressen, Subnetzmasken und Interfacenamen ab, Du mußt sie Dir also schon selbst zusammenstellen. Vorschlag: ipchains-Howto reinziehen (damit Du weißt, was Du tust) und anschließen pmfirewall einsetzen. Das ist wunderbar einfach zu konfigurieren und erstellt die ipchains-Regeln automatisch, wenn Du ihm sagst, wie Deine Devices (Netzwerk, DSL) heißen und welche Dienste (ftp, telnet, http, ...) Du zulassen willst.

Noch ein Hinweis zum Schluß: Telnet über Internet ist keine gute Idee. Nimm' lieber ssh.

Gruß,

Sebastian


[Dieser Beitrag wurde von sschaper am 29. September 2000 editiert.]

30.09.00, 00:01
...hallo!

klar, die pmfirewall werd ich heute nachmittag mal ausprobieren. das ipchains howto hab ich gelesen, muß es nur wohl noch ein paar mal durcharbeiten und ein bisschen damit rumspielen. hab mich das ganze letzte jahr davor gedrückt, aber jetzt muß es wohl mal sein! http://www.linuxforen.de/ubb/wink.gif

...den roaring penguin starte ich über einen skript, ich hab auch, glaub ich, schon die ipchains-regeln gefunden, mal gucken, ob ich das hinbekomme?!

mhh, ja! ssh ist auf jeden fall angesagt, die passwörter beim normalen telnet kann ja selbst der laie mitsniffen...

danke für die hilfe, ich schreib nochmal, ob und wie ich das hinbekommen habe...

bye...
stephan

30.09.00, 17:46
...so, ich nochmal! http://www.linuxforen.de/ubb/wink.gif

ich hab das ganze jetzt mit der pmfirewall zum laufen bekommen. der roaring penguin hat eigene ipchains-regeln aufgesetzt... konnte man mit "ipchains -L -n" abfragen.

...vielleicht war ich einfach zu sehr auf den "suse-standard" fixiert?!

vielen dank für eure antworten!
stephan