PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Andere Ports freigeben



tiris
19.12.02, 12:29
Hi,
Ich hab hier nen selbstgekochten iptablesfilter als Firewall der für mich auch gleich das Routing übernehmen soll. In den Filter hab ich jetzt eingetragen dass alle wichtigen Dienste erlaubt werden sollen, alos E-mail,www und so weiter. Aber immer wenn ich versuche kmail zu benutzen oder eine gesichterte Verbindung mit htps aufbauen möchte bekomme ich die Meldung unbekannter Rechner. Ich poste auch mal meine Filterregeln.

tiris

P.S.: Im Hintergrund läuft auch squid, aber nur für httpd.

-----------------Filterregeln------------------------------
# INTERNET-Regeln fuer Pakete aus dem LAN -----------------------------------

# DNS-Anfragen der NETBIOS-Ports 137-139 aus dem LAN werden geblockt
# (Einwahlproblem)
$IPTABLES -A FORWARD -i $DEV_INT -p udp -s $INT \
--sport 137:139 -o $DEV_EXT -j DROP
$IPTABLES -A FORWARD -i $DEV_INT -p tcp -s $INT \
--sport 137:139 -o $DEV_EXT -j DROP

# Behandlung der ICMP-Pakete
$IPTABLES -A FORWARD -o $DEV_EXT -p ICMP --icmp-type echo-request -j ACCEPT

# DNS-Abfragen erlauben - Port 53 - tcp,udp
$IPTABLES -A FORWARD -o $DEV_EXT -m state --state NEW \
-p udp --sport 1024: --dport 53 -j ACCEPT
$IPTABLES -A FORWARD -o $DEV_EXT -m state --state NEW \
-p tcp --sport 1024: --dport 53 -j ACCEPT

# HTTP erlauben - Port 80 - tcp
$IPTABLES -A FORWARD -o $DEV_EXT -m state --state NEW \
-p tcp --sport 1024: --dport 80 -j ACCEPT

# HTTPS erlauben - Port 443 - tcp
$IPTABLES -A FORWARD -o $DEV_EXT -m state --state NEW \
-p tcp --sport 1024: --dport 443 -j ACCEPT

# FTP erlauben - ftp - tcp
$IPTABLES -A FORWARD -o $DEV_EXT -m state --state NEW \
-p tcp --sport 1024: --dport ftp -j ACCEPT
$IPTABLES -A FORWARD -o $DEV_EXT -m state --state NEW \
-p tcp --sport 1024: --dport 1024: -j ACCEPT

# SMTP erlauben (E-Mails an Mail-Provider senden) - Port 25 - tcp
$IPTABLES -A FORWARD -o $DEV_EXT -m state --state NEW \
-p tcp --sport 1024: --dport 25 -j ACCEPT

# POP3 erlauben (E-Mails vom Mail-Provider holen) - Port 110 - tcp
$IPTABLES -A FORWARD -o $DEV_EXT -m state --state NEW \
-p tcp --sport 1024: --dport 110 -j ACCEPT

# NNTP erlauben (Datenaustausch mit News-Groups) - Port 119 - tcp
$IPTABLES -A FORWARD -o $DEV_EXT -m state --state NEW \
-p tcp --sport 1024: --dport 119 -j ACCEPT
-----------------Ende------------------------------------------------

pibi
19.12.02, 13:42
nen selbstgekochten iptablesfilterWo ist denn der Rest von Deinem Firewall-Script? Insbesondere vermisse ich die saubere Initialisierung und die Loggingfunktionen.

Als Schuss ins Blaue: Ich vermute, dass wegen Deiner "selbstgestrickten" Brandmauer Antworten des DNS-Servers Deines Providers nicht wieder bis zu Dir gelangen. Daher die Meldung "unbekannter Server".

Gruss Pit.

tiris
19.12.02, 14:59
Ich hab dir den kompletten Script als Private Nachricht geschickt.

tiris

CEROG
19.12.02, 17:56
Hallo tiris,

ich kann an deinem script nicht erkennen, die die Antworten vom Name-Server wieder reinkommen sollen.

Leider fehlen einige Teile des Scriptes (Festlegung der Policy, Variablendefinition).

Laut Firewall-Buch antwortet der Name-Server von Port 53. Pakete von diesem Port scheinen bei dir abgeblockt zu sein, damit können für kmail die Namen nicht in IP-Adressen umgewandelt zu werden.

Viele Grüße,
CEROG