Archiv verlassen und diese Seite im Standarddesign anzeigen : IPtables Problem
HI!
Ich habe ein IPTables Firewall Modul für Webmin (Turtlefirewall) ausprobiert und nun folgendes (für mich nicht nachzuvollziehendes Problem):
(Linux Proxy Server, im LAN 5 Windows Clients...)
Http, ICQ, Kazaa usw. klappt alles wunderbar, oft nur das Mailabholen bei GMX nicht! Yahoo-Mails kann ich abholen! Manchmal klappts auch bei GMX, aber eher selten!
Bei Bedarf kann ich auch gerne mal die Ausgabe von iptables -L posten...
PS: Oder kann es sein, dass GMX Probleme hat?
real-challo
15.11.02, 18:32
sagt mir so nichts
zeig doch mal deine Regeln
Das dürfte wohl daran liegen, dass GMX und ein paar andere Firmen der Ansicht sind, das Internet benötigt ICMP nicht (womit sie leider absolut falsch liegen).
Du hast leider keine Angaben zu deiner Distribution gemacht. Schau mal unter http://sdb.suse.de und suche dort nach GMX DSL u.ä. Das sollte dir auch dann helfen, wenn du kein SuSE verwendest.
Gruß
Matzetronic
16.11.02, 01:07
hi,
das thema hatten wir schon oft - du mußt sicher deine mtu anpassen.
mfg,
matze
Also:
- SuSE 8.0
- MTU = 1492 --> sollte dann gehen oder?
- Iptables -L:
NAT
Chain PREROUTING (policy ACCEPT 1029 packets, 60094 bytes)
pkts bytes target prot opt in out source destination
Chain POSTROUTING (policy ACCEPT 18 packets, 1136 bytes)
pkts bytes target prot opt in out source destination
1044 62978 MASQUERADE all -- * ppp0 0.0.0.0/0 0.0.0.0/0
20 3602 MASQUERADE all -- * eth1 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT 1049 packets, 65702 bytes)
pkts bytes target prot opt in out source destination
FILTERS
Chain INPUT (policy DROP 1 packets, 48 bytes)
pkts bytes target prot opt in out source destination
854 381K ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
16188 5594K CHECK_INVALID all -- * * 0.0.0.0/0 0.0.0.0/0
8094 1493K lan-FIREWALL all -- eth1 * 0.0.0.0/0 0.0.0.0/0
8094 4101K modem-FIREWALL all -- ppp0 * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
1026 250K CHECK_INVALID all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 lan-lan all -- eth1 eth1 0.0.0.0/0 0.0.0.0/0
490 32541 lan-modem all -- eth1 ppp0 0.0.0.0/0 0.0.0.0/0
536 217K modem-lan all -- ppp0 eth1 0.0.0.0/0 0.0.0.0/0
0 0 modem-modem all -- ppp0 ppp0 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
854 381K ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
17562 5697K CHECK_INVALID all -- * * 0.0.0.0/0 0.0.0.0/0
8991 4500K FIREWALL-lan all -- * eth1 0.0.0.0/0 0.0.0.0/0
8571 1198K FIREWALL-modem all -- * ppp0 0.0.0.0/0 0.0.0.0/0
Chain BACK (36 references)
pkts bytes target prot opt in out source destination
15702 5747K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
1021 63811 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0
Chain CHECK_INVALID (3 references)
pkts bytes target prot opt in out source destination
0 0 INVALID all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
0 0 INVALID tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x3F
0 0 INVALID tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x00
0 0 INVALID tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x11/0x01
0 0 INVALID tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x03/0x03
0 0 INVALID tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x06
0 0 INVALID all -f * * 0.0.0.0/0 0.0.0.0/0
Chain FIREWALL-lan (1 references)
pkts bytes target prot opt in out source destination
8991 4500K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 BACK tcp -- * * 0.0.0.0/0 192.168.0.4 tcp spt:22
0 0 BACK tcp -- * * 0.0.0.0/0 192.168.0.0/24 tcp spt:137
0 0 BACK udp -- * * 0.0.0.0/0 192.168.0.0/24 udp spt:137
0 0 BACK tcp -- * * 0.0.0.0/0 192.168.0.0/24 tcp spt:138
0 0 BACK udp -- * * 0.0.0.0/0 192.168.0.0/24 udp spt:138
0 0 BACK tcp -- * * 0.0.0.0/0 192.168.0.0/24 tcp spt:139
0 0 BACK udp -- * * 0.0.0.0/0 192.168.0.0/24 udp spt:139
0 0 BACK tcp -- * * 0.0.0.0/0 192.168.0.0/24 tcp spt:137
0 0 BACK udp -- * * 0.0.0.0/0 192.168.0.0/24 udp spt:137
0 0 BACK tcp -- * * 0.0.0.0/0 192.168.0.0/24 tcp spt:139
0 0 BACK udp -- * * 0.0.0.0/0 192.168.0.0/24 udp spt:139
0 0 BACK tcp -- * * 0.0.0.0/0 192.168.0.0/24 tcp spt:10000
0 0 BACK tcp -- * * 0.0.0.0/0 192.168.0.0/24 tcp spt:53
0 0 BACK udp -- * * 0.0.0.0/0 192.168.0.0/24 udp spt:53
0 0 BACK tcp -- * * 0.0.0.0/0 192.168.0.0/24 tcp spt:80
0 0 BACK icmp -- * * 0.0.0.0/0 192.168.0.0/24 icmp type 0
0 0 BACK tcp -- * * 0.0.0.0/0 192.168.0.0/24 tcp spt:8080
0 0 BACK udp -- * * 0.0.0.0/0 192.168.0.0/24 udp spt:68
0 0 BACK udp -- * * 0.0.0.0/0 192.168.0.0/24 udp dpt:68
0 0 BACK tcp -- * * 0.0.0.0/0 192.168.0.5 tcp spt:22
0 0 BACK tcp -- * * 0.0.0.0/0 192.168.0.0/24 tcp spt:23
0 0 BACK tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:1080
0 0 BACK tcp -- * * 0.0.0.0/0 192.168.0.0/24 tcp spt:5950
0 0 BACK udp -- * * 0.0.0.0/0 192.168.0.0/24 udp spt:177
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 3 LOG flags 0 level 4 prefix `TFW DROP FIREWALL-lan:'
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain FIREWALL-modem (1 references)
pkts bytes target prot opt in out source destination
8571 1198K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 3 LOG flags 0 level 4 prefix `TFW DROP FIREWALL-modem:'
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain ICMP-ACC (0 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 3
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 4
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 11
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 12
0 0 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0
Chain INVALID (7 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID limit: avg 3/min burst 3 LOG flags 0 level 4 prefix `TFW DROP INVALID STATE:'
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x3F limit: avg 3/min burst 3 LOG flags 0 level 4 prefix `TFW DROP INVALID ALL:'
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x00 limit: avg 3/min burst 3 LOG flags 0 level 4 prefix `TFW DROP INVALID NONE:'
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x11/0x01 limit: avg 3/min burst 3 LOG flags 0 level 4 prefix `TFW DROP INVALID FIN,!ACK:'
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x03/0x03 limit: avg 3/min burst 3 LOG flags 0 level 4 prefix `TFW DROP INVALID SYN,FIN:'
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x06 limit: avg 3/min burst 3 LOG flags 0 level 4 prefix `TFW DROP INVALID SYN,RST:'
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x16/0x02 state NEW limit: avg 3/min burst 3 LOG flags 0 level 4 prefix `TFW DROP INVALID !syn:'
0 0 LOG all -f * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 3 LOG flags 0 level 4 prefix `TFW DROP INVALID fragment:'
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 3 LOG flags 0 level 4 prefix `TFW DROP INVALID PACKET:'
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain lan-FIREWALL (1 references)
pkts bytes target prot opt in out source destination
8093 1493K BACK all -- * * 0.0.0.0/0 0.0.0.0/0
1 48 ACCEPT tcp -- * * 192.168.0.4 0.0.0.0/0 tcp dpt:22
0 0 ACCEPT tcp -- * * 192.168.0.0/24 0.0.0.0/0 tcp dpt:137
14 1092 ACCEPT udp -- * * 192.168.0.0/24 0.0.0.0/0 udp dpt:137
0 0 ACCEPT tcp -- * * 192.168.0.0/24 0.0.0.0/0 tcp dpt:138
40 10046 ACCEPT udp -- * * 192.168.0.0/24 0.0.0.0/0 udp dpt:138
10 480 ACCEPT tcp -- * * 192.168.0.0/24 0.0.0.0/0 tcp dpt:139
0 0 ACCEPT udp -- * * 192.168.0.0/24 0.0.0.0/0 udp dpt:139
0 0 ACCEPT tcp -- * * 192.168.0.0/24 0.0.0.0/0 tcp dpt:137
0 0 ACCEPT udp -- * * 192.168.0.0/24 0.0.0.0/0 udp dpt:137
0 0 ACCEPT tcp -- * * 192.168.0.0/24 0.0.0.0/0 tcp dpt:139
0 0 ACCEPT udp -- * * 192.168.0.0/24 0.0.0.0/0 udp dpt:139
52 2496 ACCEPT tcp -- * * 192.168.0.0/24 0.0.0.0/0 tcp dpt:10000
21 1008 ACCEPT tcp -- * * 192.168.0.0/24 0.0.0.0/0 tcp dpt:53
45 3545 ACCEPT udp -- * * 192.168.0.0/24 0.0.0.0/0 udp dpt:53
7 336 ACCEPT tcp -- * * 192.168.0.0/24 0.0.0.0/0 tcp dpt:80
9 540 ACCEPT icmp -- * * 192.168.0.0/24 0.0.0.0/0 icmp type 8
743 35664 ACCEPT tcp -- * * 192.168.0.0/24 0.0.0.0/0 tcp dpt:8080
0 0 ACCEPT udp -- * * 192.168.0.0/24 0.0.0.0/0 udp dpt:67
0 0 ACCEPT udp -- * * 192.168.0.0/24 0.0.0.0/0 udp spt:67
0 0 ACCEPT tcp -- * * 192.168.0.5 0.0.0.0/0 tcp dpt:22
0 0 ACCEPT tcp -- * * 192.168.0.0/24 0.0.0.0/0 tcp dpt:23
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1080
0 0 ACCEPT tcp -- * * 192.168.0.0/24 0.0.0.0/0 tcp dpt:5950
0 0 ACCEPT udp -- * * 192.168.0.0/24 0.0.0.0/0 udp dpt:177
7 336 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 3 LOG flags 0 level 4 prefix `TFW DROP lan-FIREWALL:'
7 336 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain lan-lan (1 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 3 LOG flags 0 level 4 prefix `TFW DROP lan-lan:'
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain lan-modem (1 references)
pkts bytes target prot opt in out source destination
288 12985 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:110
104 7604 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:995
0 0 ACCEPT tcp -- * * 192.168.0.0/24 0.0.0.0/0 tcp dpt:25
0 0 ACCEPT udp -- * * 192.168.0.0/24 0.0.0.0/0 udp spt:1214
0 0 ACCEPT tcp -- * * 192.168.0.0/24 0.0.0.0/0 tcp dpt:1214
0 0 ACCEPT tcp -- * * 192.168.0.0/24 0.0.0.0/0 tcp spt:1214
0 0 ACCEPT icmp -- * * 192.168.0.0/24 0.0.0.0/0 icmp type 8
98 11952 ACCEPT tcp -- * * 192.168.0.0/24 0.0.0.0/0 tcp dpt:5190
0 0 ACCEPT tcp -- * * 192.168.0.0/24 0.0.0.0/0 tcp dpt:21
0 0 ACCEPT tcp -- * * 192.168.0.0/24 0.0.0.0/0 tcp dpt:20 state ESTABLISHED
0 0 ACCEPT tcp -- * * 192.168.0.0/24 0.0.0.0/0 tcp spts:1024:65535 dpts:1024:65535 state RELATED,ESTABLISHED
0 0 ACCEPT all -- * * 192.168.0.0/24 0.0.0.0/0
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 3 LOG flags 0 level 4 prefix `TFW DROP lan-modem:'
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain modem-FIREWALL (1 references)
pkts bytes target prot opt in out source destination
8094 4101K BACK all -- * * 0.0.0.0/0 0.0.0.0/0
65 7772 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 3 LOG flags 0 level 4 prefix `TFW DROP modem-FIREWALL:'
72 8220 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain modem-lan (1 references)
pkts bytes target prot opt in out source destination
342 180K BACK tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:110
109 23175 BACK tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:995
0 0 BACK tcp -- * * 0.0.0.0/0 192.168.0.0/24 tcp spt:25
0 0 BACK udp -- * * 0.0.0.0/0 192.168.0.0/24 udp dpt:1214
0 0 BACK tcp -- * * 0.0.0.0/0 192.168.0.0/24 tcp spt:1214
0 0 BACK tcp -- * * 0.0.0.0/0 192.168.0.0/24 tcp dpt:1214
0 0 BACK icmp -- * * 0.0.0.0/0 192.168.0.0/24 icmp type 0
85 13912 BACK tcp -- * * 0.0.0.0/0 192.168.0.0/24 tcp spt:5190
0 0 BACK tcp -- * * 0.0.0.0/0 192.168.0.0/24 tcp spt:21
0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.0.0/24 tcp spt:20 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.0.0/24 tcp spts:1024:65535 dpts:1024:65535 state ESTABLISHED
0 0 BACK all -- * * 0.0.0.0/0 192.168.0.0/24
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 3 LOG flags 0 level 4 prefix `TFW DROP modem-lan:'
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain modem-modem (1 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 3 LOG flags 0 level 4 prefix `TFW DROP modem-modem:'
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Ich hab auch mal diesen IPTables Generator vom Harry ausprobiert - gleiches Spiel!
Nur mit der SuSE Firewall klappt es normal!! Kann mir denn da keiner mal einen Tip geben?
Wie gesagt MTU ist auf 1492 eingestellt...
Merkwürdig ist auch, dass Outlook beim Senden/Empfangen meldet "Empfange Mail 1 von 3...", aber nicht wirklich etwas empfängt!
Bei Yahoo klappt es nach wie vor und das Versenden von Mails klappt auch, sogar bei GMX mit SMTP-AUTH!
Mit der SuSE Firewall bin ich nicht so glücklich, aber ich muss ja meine Mails abholen können!
Hab ich vielleicht vergessen irgendwelche Module zu laden?
:confused: :confused: :confused: :confused:
wie wärs mit
man iptables
um mal zu verstehen wie es funzt.
und dann mit selbstbau des configfiles ohne rudimentäre webmintools etc. deren funktionalität du nirgends prüfen kannst wenn du das configfile an sich nicht verstehst.
Danke für diesen hilfreichen Kommentar! Falls Du verstanden hast, wie es funzt, dann kannst Du mir ja sagen, was ich falsch mache...
Ich denke Harry kennt sich "ganz gut" mit IPTables aus und sein Skript Generator bringt bei mir denselben Fehler...
Ich würd ja nicht fragen, wenn ich nicht schon selber versucht hätte ne Lösung zu finden (naja und selbst wenn: wozu ist ein solches Forum da?)
Hallo Knoesel,
nur um nochmal ganz sicher zu gehen, kannst Du ja noch die folgende Zeile in Dein Skript einfügen:
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
Ansonsten schließe ich mich den Vermutungen von Jinto an, auch wenn Du eine MTU auf 1492 gestellt hast; vielleicht war es nur nicht das richtige Interface?
Harry
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.