Anzeige:
Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 15 von 25

Thema: Fehler im Script und risiges Problem.

  1. #1
    Registrierter Benutzer
    Registriert seit
    Jun 2001
    Beiträge
    53

    Fehler im Script und risiges Problem.

    Hallo.
    Ich habe ein Problem.
    Bei meinem Sript steigt der Server sporadisch aus. und di elog-dateien sind auch net so richtig klar.

    Bitte um schnelle hilfe.

    Da es sehr tringen.

    ''SCRIPT"


    #!/bin/bash

    set iptables = /usr/sbin/iptables

    #---------default policy-----------


    iptables -F INPUT
    iptables -F FORWARD
    iptables -F OUTPUT
    iptables -P INPUT ACCEPT
    iptables -P FORWARD ACCEPT
    iptables -P OUTPUT ACCEPT

    #--------------------------------------
    # VARIABLEN
    IF_LAN=eth0 #internes LAN-Interface
    INTIP1=192.168.5.10 #Rechner 1
    INTIP2=192.168.5.11 #Rechner 2
    INTIP3=192.168.5.2 #Rechner 3
    IF_NET=ppp0 #externes Interface(DSL)
    NET_IP=192.168.5.0/24 #Ip-Netzbereich
    IPT="/usr/sbin/iptables"

    # MODULE
    modprobe ip_tables
    modprobe iptable_filter
    modprobe ipt_MASQUERADE
    modprobe ipt_MIRROR
    modprobe ipt_REJECT
    modprobe ipt_TCPMSS
    modprobe ipt_state
    modprobe ipt_tcpmss
    modprobe ip_conntrack
    modprobe ip_conntrack_ftp
    modprobe ip_nat_ftp

    # Starten der Einstellungen des Routings über PPP0 mit Masquerading:
    if [ -z "`lsmod | grep iptable_nat`" ];
    then
    /sbin/insmod iptable_nat
    fi

    if [ -z "`lsmod | grep ip_conntrack`" ];
    then
    /sbin/insmod ip_conntrack &> /dev/null
    fi

    #Löschen der alten PREROUTING Regeln
    iptables -t nat -F PREROUTING

    # Masquerading Regeln aktivieren
    if [ -z "`/usr/sbin/iptables -L -t nat | grep MASQUERADE`" ];
    then
    iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
    fi

    # Masquerading / Forwarding ein
    echo "1" > /proc/sys/net/ipv4/ip_forward
    echo "1" > /proc/sys/net/ipv4/ip_dynaddr

    # PINGS BLOCKEN / zusätzliche INPUT rules (icmp)
    $IPT -A INPUT -p icmp --icmp-type 8 -i $IF_NET -j DROP

    $IPT -t nat -A PREROUTING -i $IF_NET -s $NET_IP -j ACCEPT
    $IPT -t nat -A PREROUTING -i $IF_NET -s 10.0.0.0/8 -j DROP
    $IPT -t nat -A PREROUTING -i $IF_NET -s 172.16.0.0/12 -j DROP

    $IPT -A INPUT -p icmp -m icmp --icmp-type 0 -i ppp0 -j ACCEPT
    $IPT -A INPUT -p icmp -m icmp --icmp-type 3 -i ppp0 -j ACCEPT
    $IPT -A INPUT -p icmp -m icmp --icmp-type 4 -i ppp0 -j ACCEPT
    $IPT -A INPUT -p icmp -m icmp --icmp-type 8 -i ppp0 -j ACCEPT
    $IPT -A INPUT -p icmp -m icmp --icmp-type 11 -i ppp0 -j ACCEPT
    $IPT -A INPUT -p icmp -m icmp --icmp-type 12 -i ppp0 -j ACCEPT


    ## VERBINDUNGSAUFBAU VON AUSSEN ABLEHNEN
    #$IPT -N INET
    #$IPT -I INPUT -j INET
    #$IPT -I FORWARD -j INET
    #$IPT -A INET -m state --state NEW,INVALID -i $IF_NET -j REJECT


    # Ports abdichten und einige zulassen
    $IPT -A INPUT -i ppp0 -p tcp --dport 20 -j DROP
    $IPT -A INPUT -i ppp0 -p tcp --dport 21 -j ACCEPT
    $IPT -A INPUT -i ppp0 -p tcp --dport 22 -j ACCEPT
    $IPT -A INPUT -i ppp0 -p tcp --dport 25 -j DROP
    $IPT -A INPUT -i ppp0 -p tcp --dport 53 -j ACCEPT
    $IPT -A INPUT -i ppp0 -p udp --dport 53 -j ACCEPT
    $IPT -A INPUT -i ppp0 -p tcp --dport 80 -j ACCEPT
    $IPT -A INPUT -i ppp0 -p tcp --dport 110 -j ACCEPT
    $IPT -A INPUT -i ppp0 -p tcp --dport 5100 -j ACCEPT
    $IPT -A INPUT -i ppp0 -p udp --dport 6257 -j ACCEPT
    $IPT -A INPUT -i ppp0 -p tcp --dport 3782 -j DROP
    $IPT -A INPUT -i ppp0 -p udp --dport 3782:3783 -j DROP
    $IPT -A INPUT -i ppp0 -p tcp --dport 550 -j ACCEPT
    $IPT -A INPUT -i ppp0 -p udp --dport 550 -j ACCEPT
    $IPT -A INPUT -i ppp0 -p tcp --dport 631 -j DROP
    $IPT -A INPUT -i ppp0 -p udp --dport 631 -j DROP
    $IPT -A INPUT -i ppp0 -p tcp --dport 7 -j DROP
    $IPT -A INPUT -i ppp0 -p tcp --dport 37 -j DROP
    $IPT -A INPUT -i ppp0 -p tcp --dport 389 -j DROP
    $IPT -A INPUT -i ppp0 -p tcp --dport 111 -j DROP
    $IPT -A INPUT -i ppp0 -p tcp --dport 113 -j DROP
    $IPT -A INPUT -i ppp0 -p tcp --dport 513:515 -j DROP
    $IPT -A INPUT -i ppp0 -p tcp --dport 902 -j DROP
    $IPT -A INPUT -i ppp0 -p tcp --dport 905 -j DROP
    $IPT -A INPUT -i ppp0 -p tcp --dport 910 -j DROP
    $IPT -A INPUT -i ppp0 -p tcp --dport 1002 -j DROP


    # einige Ports werden komplett abgedichtet aber geloggt
    $IPT -A INPUT -p tcp --dport 6670 -m limit -j LOG --log-prefix "FW: Deepthroat scan"
    $IPT -A INPUT -p tcp --dport 6670 -j DROP
    $IPT -A INPUT -p tcp --dport 6711:6713 -m limit -j LOG --log-prefix "FW: Subseven scan"
    $IPT -A INPUT -p tcp --dport 6711:6713 -j DROP
    $IPT -A INPUT -p tcp --dport 12345:12346 -m limit -j LOG --log-prefix "FW: netbus scan"
    $IPT -A INPUT -p tcp --dport 12345:12346 -j DROP
    $IPT -A INPUT -p tcp --dport 20034 -m limit -j LOG --log-prefix "FW: netbus scan"
    $IPT -A INPUT -p tcp --dport 20034 -j DROP
    $IPT -A INPUT -p tcp --dport 31337 -m limit -j LOG --log-prefix "FW: Back Orifice Scan"
    $IPT -A INPUT -p tcp --dport 31337 -j DROP
    $IPT -A INPUT -p tcp --dport 6000 -m limit -j LOG --log-prefix "FW: X-Windows Port"
    $IPT -A INPUT -p tcp --dport 6000 -j DROP

    # Prerouting
    $IPT -A PREROUTING -t nat -i eth0 -s 192.168.29.0/24 -j ACCEPT
    $IPT -A PREROUTING -t nat -i ppp0 -p tcp -m state --state related,established -j ACCEPT
    $IPT -A PREROUTING -t nat -i ppp0 -p udp -m state --state related,established -j ACCEPT

    # Forward
    $IPT -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
    $IPT -A FORWARD -t filter -i eth0 -o ppp0 -j ACCEPT
    $IPT -A FORWARD -t filter -i ppp0 -o $IF_LAN -m state --state related,established -j ACCEPT

    # zusätzliche OUTPUT rules
    $IPT -A OUTPUT -p all -o ppp0 -j ACCEPT


    # alles was rausfällt ins Log schreiben
    $IPT -A INPUT -p all -j LOG --log-level info --log-prefix "loginput"
    $IPT -A OUTPUT -p all -j LOG --log-level info --log-prefix "logoutput"
    $IPT -A FORWARD -p all -j LOG --log-level info --log-prefix "logforward"

    # Forwarding aktivieren
    $IPT -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

    #--------- Regeln fuer Rechner 1 --------------------------------------------------------------


    # Port Forwarding
    $IPT -t nat -A PREROUTING -p tcp --dport 412:412 -i ppp0 -j DNAT --to-destination $INTIP1:412
    $IPT -t nat -A PREROUTING -p udp --dport 412:412 -i ppp0 -j DNAT --to-destination $INTIP1:412
    $IPT -t nat -A PREROUTING -p tcp --dport 550 -i ppp0 -j DNAT --to-destination $INTIP1:550
    $IPT -t nat -A PREROUTING -p udp --dport 550 -i ppp0 -j DNAT --to-destination $INTIP1:550
    $IPT -t nat -A PREROUTING -p tcp --dport 5100:5100 -i ppp0 -j DNAT --to-destination $INTIP1:5100
    $IPT -t nat -A PREROUTING -p udp --dport 3782:3783 -i ppp0 -j DNAT --to-destination $INTIP1:3782-3783
    $IPT -t nat -A PREROUTING -p tcp --dport 3782:3783 -i ppp0 -j DNAT --to-destination $INTIP1:3782-3783
    $IPT -t nat -A PREROUTING -p tcp --dport 59100:59200 -i ppp0 -j DNAT --to-destination $INTIP1:59100-59200
    $IPT -t nat -A PREROUTING -p udp --dport 59100:59200 -i ppp0 -j DNAT --to-destination $INTIP1:59100-59200
    $IPT -t nat -A PREROUTING -p tcp --dport 2300:2400 -i ppp0 -j DNAT --to-destination $INTIP1:2300-2400
    $IPT -t nat -A PREROUTING -p udp --dport 2300:2400 -i ppp0 -j DNAT --to-destination $INTIP1:2300-2400


    #
    # TCP Pakete (-p tcp), die an der Internetmaschine (ppp0) am
    # Port 550 (--dport 4661) ankommen, ins Intranet an Maschine
    # 192.168.5.10 (--to ...) weiterleiten
    $IPT -A PREROUTING -t nat -p tcp --dport 550 -i ppp0 -j DNAT --to $INTIP1
    $IPT -A PREROUTING -t nat -p udp --dport 550 -i ppp0 -j DNAT --to $INTIP1

    # Zusätzliche Regeln
    $IPT -t nat -A PREROUTING -p tcp --dport 550 -i ppp0 -j DNAT --to-destination $INTIP1:550
    $IPT -t nat -A PREROUTING -p udp --dport 550 -i ppp0 -j DNAT --to-destination $INTIP1:550


    #--------- Regeln fuer Rechner 2 --------------------------------------------------------------


    # Port Forwarding
    $IPT -t nat -A PREROUTING -p tcp --dport 412:412 -i ppp0 -j DNAT --to-destination $INTIP2:412
    $IPT -t nat -A PREROUTING -p udp --dport 412:412 -i ppp0 -j DNAT --to-destination $INTIP2:412
    $IPT -t nat -A PREROUTING -p tcp --dport 550 -i ppp0 -j DNAT --to-destination $INTIP2:550
    $IPT -t nat -A PREROUTING -p udp --dport 550 -i ppp0 -j DNAT --to-destination $INTIP2:550
    $IPT -t nat -A PREROUTING -p tcp --dport 5100:5100 -i ppp0 -j DNAT --to-destination $INTIP2:5100
    $IPT -t nat -A PREROUTING -p udp --dport 3782:3783 -i ppp0 -j DNAT --to-destination $INTIP2:3782-3783
    $IPT -t nat -A PREROUTING -p tcp --dport 3782:3783 -i ppp0 -j DNAT --to-destination $INTIP2:3782-3783
    $IPT -t nat -A PREROUTING -p tcp --dport 59100:59200 -i ppp0 -j DNAT --to-destination $INTIP2:59100-59200
    $IPT -t nat -A PREROUTING -p udp --dport 59100:59200 -i ppp0 -j DNAT --to-destination $INTIP2:59100-59200
    $IPT -t nat -A PREROUTING -p tcp --dport 2300:2400 -i ppp0 -j DNAT --to-destination $INTIP2:2300-2400
    $IPT -t nat -A PREROUTING -p udp --dport 2300:2400 -i ppp0 -j DNAT --to-destination $INTIP2:2300-2400



    #
    # TCP Pakete (-p tcp), die an der Internetmaschine (ppp0) am
    # Port 550 (--dport 4661) ankommen, ins Intranet an Maschine
    # 192.168.5.10 (--to ...) weiterleiten
    $IPT -A PREROUTING -t nat -p tcp --dport 550 -i ppp0 -j DNAT --to $INTIP2
    $IPT -A PREROUTING -t nat -p udp --dport 550 -i ppp0 -j DNAT --to $INTIP2

    # Zusätzliche Regeln
    $IPT -t nat -A PREROUTING -p tcp --dport 550 -i ppp0 -j DNAT --to-destination $INTIP2:550
    $IPT -t nat -A PREROUTING -p udp --dport 550 -i ppp0 -j DNAT --to-destination $INTIP2:550


    #--------- Regeln fuer Rechner 3 --------------------------------------------------------------


    # Port Forwarding
    $IPT -t nat -A PREROUTING -p tcp --dport 412:412 -i ppp0 -j DNAT --to-destination $INTIP3:412
    $IPT -t nat -A PREROUTING -p udp --dport 412:412 -i ppp0 -j DNAT --to-destination $INTIP3:412
    $IPT -t nat -A PREROUTING -p tcp --dport 550 -i ppp0 -j DNAT --to-destination $INTIP3:550
    $IPT -t nat -A PREROUTING -p udp --dport 550 -i ppp0 -j DNAT --to-destination $INTIP3:550
    $IPT -t nat -A PREROUTING -p tcp --dport 5100:5100 -i ppp0 -j DNAT --to-destination $INTIP3:5100
    $IPT -t nat -A PREROUTING -p udp --dport 3782:3783 -i ppp0 -j DNAT --to-destination $INTIP3:3782-3783
    $IPT -t nat -A PREROUTING -p tcp --dport 3782:3783 -i ppp0 -j DNAT --to-destination $INTIP3:3782-3783
    $IPT -t nat -A PREROUTING -p tcp --dport 59100:59200 -i ppp0 -j DNAT --to-destination $INTIP3:59100-59200
    $IPT -t nat -A PREROUTING -p udp --dport 59100:59200 -i ppp0 -j DNAT --to-destination $INTIP3:59100-59200
    $IPT -t nat -A PREROUTING -p tcp --dport 2300:2400 -i ppp0 -j DNAT --to-destination $INTIP3:2300-2400
    $IPT -t nat -A PREROUTING -p udp --dport 2300:2400 -i ppp0 -j DNAT --to-destination $INTIP3:2300-2400


    #
    # TCP Pakete (-p tcp), die an der Internetmaschine (ppp0) am
    # Port 550 (--dport 4661) ankommen, ins Intranet an Maschine
    # 192.168.5.10 (--to ...) weiterleiten
    $IPT -A PREROUTING -t nat -p tcp --dport 550 -i ppp0 -j DNAT --to $INTIP3
    $IPT -A PREROUTING -t nat -p udp --dport 550 -i ppp0 -j DNAT --to $INTIP3

    # Zusätzliche Regeln
    $IPT -t nat -A PREROUTING -p tcp --dport 550 -i ppp0 -j DNAT --to-destination $INTIP3:550
    $IPT -t nat -A PREROUTING -p udp --dport 550 -i ppp0 -j DNAT --to-destination $INTIP3:550


    ## Tables forblock anlegen ##
    $IPT -N forblock

    # TCP Ports 550 annehmen
    # UDP Port 550 annehmen
    $IPT -A forblock -i ppp0 -p tcp --dport 550 -j ACCEPT
    $IPT -A forblock -i ppp0 -p udp --dport 550 -j ACCEPT

    #
    # Tabelle forblock forwarden !
    # (?) Ich denke mal, das es hier auch um das Masqueraden geht (?),
    # damit die Pakete am Zielrechner mit $INTIP... ankommen und
    # nicht mit der ppp0 Adresse !
    $IPT -A FORWARD -j forblock


    Bitte prüft mir mal das script durch.
    Da ich die vermutung habe das der rechner bei bistimmten sachen durcheinander kommt.

    danke schon mal im Vorraus.

    Tschau.
    SuSe 7.3 Professional (Kernel 2.4.10 - 4GB)
    KDE 2.2.4
    AMD TH 900
    135 GB HDD
    768 MB
    GForce 2 Ti (Xfree86 4.2.0)

  2. #2
    Premium Mitglied Avatar von RapidMax
    Registriert seit
    Aug 2001
    Beiträge
    1.740
    Wieso meinst du, dass es an diesem Script liegt? Wie steigt der Server aus (Kernel-Panic, Freeze, nicht erreichbar usw...). Was für Fehlermeldungen, bzw. log-Einträge siehst du?

    Gruss, Andy
    echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
    >>> Programmierst Du noch oder patentierst Du schon... ? <<<

  3. #3
    Registrierter Benutzer
    Registriert seit
    Jun 2001
    Beiträge
    53

    Server Probleme

    Also der server ist nicht mehr zu erreichen und lässt auch nix mehr durch.
    Also samba geht nicht mehr und das internet auch net.
    denke mal er ist eingefrohern.

    Ich denke das deshalb, mit dem Script. da es erst neu hinzugekommen ist.

    Log dateien kann ich net so ganz entschlüsserln.

    Da sie net richtig definiert sind. wo schreibt er di elogdateinen denn eigendlich hin

    Syslog, oder firewall??

    Kann sie aber net so klar definieren was drin steht.
    Ist nen bissel viel.
    SuSe 7.3 Professional (Kernel 2.4.10 - 4GB)
    KDE 2.2.4
    AMD TH 900
    135 GB HDD
    768 MB
    GForce 2 Ti (Xfree86 4.2.0)

  4. #4
    Registrierter Benutzer
    Registriert seit
    Jun 2001
    Beiträge
    53
    Komme nicht merh weiter.

    Bitte wirklich tringend um hilfe.
    SuSe 7.3 Professional (Kernel 2.4.10 - 4GB)
    KDE 2.2.4
    AMD TH 900
    135 GB HDD
    768 MB
    GForce 2 Ti (Xfree86 4.2.0)

  5. #5
    Premium Mitglied
    Registriert seit
    Jun 2002
    Ort
    Leipzig
    Beiträge
    112
    Hi,

    ich denke mal bevor hier jemand dein Script auseinanderpflückt und wild drauf
    los testet, solltest du uns vielleicht kurz aufklären was du am Ende erreichen willst.

    Also, welche Dienste sollen auf welchem Rechner verfügbar sein. Welche Betriebssysteme laufen auf den jeweiligen Rechnern. Welche Netzwerkkonfigurationen sind dort vorhanden usw. usw.
    Hilfreich hierbei sind immer wieder ifconfig & route -n oder unter Windows ipconfig /all & route print.

    Desweiteren sind Auszüge aus diversen Logfiles nicht zu verachten (Bsp.: /var/log/messages)
    Bis dato sieht mir das alles sehr wüst und nach wildem probieren aus.

    HTH
    [oETTi]
    "In the new world order Bombay is 250ms from New York" [ac]

  6. #6
    Registrierter Benutzer
    Registriert seit
    Jun 2001
    Beiträge
    53
    Also es müssen auf allen Rechnern der Port 550 direkt durchgeleitet werden.
    zept muss gehen,a slo btx


    Es sind 2 windows XP
    und ein windows 98

    Rechner 1 : 192.168.5.10
    Rechner 2 : 192.168.5.11
    Rechner 3 : 192.168.5.2

    Server : 192.168.5.99

    ###### Server ########
    ifconfig:

    eth0 Link encap:Ethernet HWaddr 00:C0:9F:12:35:F8
    inet addr:192.168.5.99 Bcast:192.168.5.255 Mask:255.255.255.0
    inet6 addr: fe80::2c0:9fff:fe12:35f8/10 Scope:Link
    UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
    RX packets:169007 errors:0 dropped:0 overruns:0 frame:0
    TX packets:181977 errors:0 dropped:0 overruns:0 carrier:0
    collisions:0 txqueuelen:100
    RX bytes:58051563 (55.3 Mb) TX bytes:161851377 (154.3 Mb)
    Interrupt:10 Base address:0xecc0 Memory:fe100000-0

    eth1 Link encap:Ethernet HWaddr 00:05:5D:2C:B41
    inet addr:192.168.99.100 Bcast:192.168.99.255 Mask:255.255.255.0
    inet6 addr: fe80::205:5dff:fe2c:b4d1/10 Scope:Link
    UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
    RX packets:28329 errors:0 dropped:0 overruns:0 frame:0
    TX packets:29124 errors:0 dropped:0 overruns:0 carrier:0
    collisions:14 txqueuelen:100
    RX bytes:14427515 (13.7 Mb) TX bytes:5939070 (5.6 Mb)
    Interrupt:5 Base address:0x8000

    lo Link encap:Local Loopback
    inet addr:127.0.0.1 Mask:255.0.0.0
    inet6 addr: ::1/128 Scope:Host
    UP LOOPBACK RUNNING MTU:16436 Metric:1
    RX packets:42558 errors:0 dropped:0 overruns:0 frame:0
    TX packets:42558 errors:0 dropped:0 overruns:0 carrier:0
    collisions:0 txqueuelen:0
    RX bytes:10839695 (10.3 Mb) TX bytes:10839695 (10.3 Mb)

    route -n :

    Kernel IP routing table
    Destination Gateway Genmask Flags Metric Ref Use Iface
    217.5.98.73 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
    192.168.5.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
    192.168.99.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
    0.0.0.0 217.5.98.73 0.0.0.0 UG 0 0 0 ppp0


    ##### Rechner #############




    Windows-IP-Konfiguration



    Hostname. . . . . . . . . . . . . : 00316-002

    Primäres DNS-Suffix . . . . . . . :

    Knotentyp . . . . . . . . . . . . : Unbekannt

    IP-Routing aktiviert. . . . . . . : Nein

    WINS-Proxy aktiviert. . . . . . . : Nein



    Ethernetadapter LAN-Verbindung:



    Verbindungsspezifisches DNS-Suffix:

    Beschreibung. . . . . . . . . . . : D-Link DFE-530TX-PCI-Fast Ethernet-Adapter (rev.A)

    Physikalische Adresse . . . . . . : 00-50-BA-6D-2B-4A

    DHCP aktiviert. . . . . . . . . . : Nein

    IP-Adresse. . . . . . . . . . . . : 192.168.5.11

    Subnetzmaske. . . . . . . . . . . : 255.255.255.0

    Standardgateway . . . . . . . . . : 192.168.5.99

    DNS-Server. . . . . . . . . . . . : 192.168.5.99



    Route:

    ================================================== =========================
    Schnittstellenliste
    0x1 ........................... MS TCP Loopback interface
    0x2 ...00 50 ba 6d 2b 4a ...... D-Link DFE-530TX-PCI-Fast Ethernet-Adapter (rev.A) - Paketplaner-Miniport
    ================================================== =========================
    ================================================== =========================
    Aktive Routen:
    Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl
    0.0.0.0 0.0.0.0 192.168.5.99 192.168.5.11 20
    127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
    192.168.5.0 255.255.255.0 192.168.5.11 192.168.5.11 20
    192.168.5.11 255.255.255.255 127.0.0.1 127.0.0.1 20
    192.168.5.255 255.255.255.255 192.168.5.11 192.168.5.11 20
    224.0.0.0 240.0.0.0 192.168.5.11 192.168.5.11 20
    255.255.255.255 255.255.255.255 192.168.5.11 192.168.5.11 1
    Standardgateway: 192.168.5.99
    ================================================== =========================
    St„ndige Routen:
    Keine
    SuSe 7.3 Professional (Kernel 2.4.10 - 4GB)
    KDE 2.2.4
    AMD TH 900
    135 GB HDD
    768 MB
    GForce 2 Ti (Xfree86 4.2.0)

  7. #7
    Registrierter Benutzer
    Registriert seit
    Jun 2001
    Beiträge
    53
    So das eine hatte ich ja jetzt schon aufgeschrieben mit den ip's, routen und so.
    Dir Ports sind grob auch da.


    So Sinn des Scriptes ist es das alle rechner im internen Netz nach draußen kommen. direkte regeln brauch ich nur gesondert für die 3 rechner, damit sie ihr Bankprogramm- hausbank oder so, dass sich über ein vpn mit dem haubtrechner verbindet,nutzt.
    Desweiteren muss das zept durchgelassen werde, wegen sfirm || starmoney.

    So erstmal was zu dem script, dass ich geschrieben hatte.
    Es ist vor knapp 2-3 Jahren von mir geschrieben worden, und das ganze so im suffe.
    Es war als zwischenlösung für mich gedacht zuhause. Und es lief bis heute.-
    Nur nun musste ich es komplett nochmal auseinander nehmen und nochmal so zusammen bauen.

    Es läuft auch sehr gut, bis auf das mit dem einfriehren des servers.


    Um diesen fehler zu finden und das script zu optimnieren und so.

    Tschaui erstmal.
    Bei fragen meldet euch.
    SuSe 7.3 Professional (Kernel 2.4.10 - 4GB)
    KDE 2.2.4
    AMD TH 900
    135 GB HDD
    768 MB
    GForce 2 Ti (Xfree86 4.2.0)

  8. #8
    Registrierter Benutzer
    Registriert seit
    Jun 2001
    Beiträge
    53
    Hallo, Guten Morgen erst mal.

    Also ich hab mir das Script nochmal durchgeschaut, aber ich find irgendwie nix.
    Ich weis auch net mehr weiter.

    Der Server ist wieder eingefrohren, heute nacht.

    Tschaui erstmal.
    *Würde mich freuen wenn miur jemand bei meinem Problem richtig helfen kann.*
    SuSe 7.3 Professional (Kernel 2.4.10 - 4GB)
    KDE 2.2.4
    AMD TH 900
    135 GB HDD
    768 MB
    GForce 2 Ti (Xfree86 4.2.0)

  9. #9
    Premium Mitglied Avatar von RapidMax
    Registriert seit
    Aug 2001
    Beiträge
    1.740
    Hmm, das Script sieht anständig aus, so auf den ersten Blick.
    Sag mir doch mal, was für ein System du benutzt und die Ausgaben von:
    uname -a
    iptables -V

    Du könntest auch versuchen, das Script neu zu schreiben, z.B. mit Hilfe des fwbuilder. Tritt der fehler immernoch auf, könnte es a einem defekten Kernel, RAM oder Hardware liegen.

    Gruss, Andy
    echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
    >>> Programmierst Du noch oder patentierst Du schon... ? <<<

  10. #10
    Sysop Avatar von Elektronator
    Registriert seit
    Nov 2001
    Ort
    Grainau
    Beiträge
    491
    Der Server ist eingefroren, heute Nacht
    Von allein? Ohne dass das script ausgeführt wird?
    Kannst du noch am lokalen Terminal arbeiten?
    Dann ist es sicher nicht dein script.
    Check mal lieber Strom/Temperatur etc.
    running Debian unstable, pppoe ipppd httpd squid named dhcpd arpwatch netfilter raid sshd sendmail fetchmail imapd smbd nfsd CUPS hfaxd

  11. #11
    Registrierter Benutzer
    Registriert seit
    Jun 2001
    Beiträge
    53
    Also es konnte nix mehr gemacht werden, war komplett weg.

    Also zu den befehlen.

    Das system ist ein SuSeLinux 8.1


    Linux server 2.4.19-4GB #1 Fri Sep 13 13:19:15 UTC 2002 i686 unknown
    iptables v1.2.7a


    Ich weis das das script auf den ersten blick normal aussieht, nur naja weis auch net.
    Strom und hardware glaub ich net.

    Bei nem kumpel friehert das ding auch ein bei dem script., aber nur manchmal und sporadisch.
    SuSe 7.3 Professional (Kernel 2.4.10 - 4GB)
    KDE 2.2.4
    AMD TH 900
    135 GB HDD
    768 MB
    GForce 2 Ti (Xfree86 4.2.0)

  12. #12
    Premium Mitglied Avatar von RapidMax
    Registriert seit
    Aug 2001
    Beiträge
    1.740
    Für mich es es immernoch nicht bewiesen, dass es am Script liegt. Wenn du auf den produktiven Einsatz verzichten kannst, stell den Rechner in ein sicheres Netzwerk, entferne die Firewall und warte genügend lange, bis sich der Fehler zeigen müsste.

    Zuerst würde ich aber die Hardware unter die Lupe nehmen. Insbesondere das Ram testen und die Ressourcen auf Konflikte überprüfen.

    Gruss, Andy
    echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
    >>> Programmierst Du noch oder patentierst Du schon... ? <<<

  13. #13
    Registrierter Benutzer
    Registriert seit
    Jun 2001
    Beiträge
    53
    Also Der Server, muss laufen mit script.
    Da dieser server der Hasubtserver in einer Firma ist.
    Was ich vermute,
    Das durch eine oder mehrere regeln, der kernel blockiert.
    Denke mal über loobback und so.
    SuSe 7.3 Professional (Kernel 2.4.10 - 4GB)
    KDE 2.2.4
    AMD TH 900
    135 GB HDD
    768 MB
    GForce 2 Ti (Xfree86 4.2.0)

  14. #14
    Sysop Avatar von Elektronator
    Registriert seit
    Nov 2001
    Ort
    Grainau
    Beiträge
    491
    Jetzt sei doch so nett und beantworte endlich die Frage:

    Kannst du noch lokal am Terminal arbeiten???
    running Debian unstable, pppoe ipppd httpd squid named dhcpd arpwatch netfilter raid sshd sendmail fetchmail imapd smbd nfsd CUPS hfaxd

  15. #15
    Premium Mitglied Avatar von RapidMax
    Registriert seit
    Aug 2001
    Beiträge
    1.740
    So, jetzt habe ich mir mal Zeit genommen, das Script durchzusehen. Ich bin nicht ein Iptables-Spezialist, darum behaupte ich ev. was falsches:

    Konzeptionell:
    Deine Default-Policy ist Accept. d.h. dass du alles durchlässt, ausser das, was nicht erlaubt ist. Die sichere Variante ist alles abzulehnen, ausser das was explizit zugelassen ist. Das ist natürlich aufwändiger, besonders im Unterhalt, wenn neue Dienste hinzukommen. Die Entscheidung kann ich hier nicht abnehmen.

    Schöhnheitsfehler:
    Logging: Du verwendest zwar das modul Limit, aber ich sehe keine Angabe der Rate (--limit 1/min), der Default ist deshalb 3/h.

    Fehler?:
    Aus den Port-Forwarding-Regeln bin ich nicht schlau geworden. Du willst Paktete vom Internet (ppp0) in das Lokale Netzwerk (192.168.5.0/24) forwarden (DNAT). Dabei werden die gleichen Ports an verschiedene Rechner weitergeleitet (z.B. Port 412 an Rechner1,2,3). Das kann doch nicht funktionieren? Woher soll der Firewall wissen, an welchen Rechner die Pakete geschickt werden?

    Kannst du mir deine Regeln nochmals erklären. Ebenso würde mich die Struktur des Netzwerkes interessieren, sowie alle Dienste, die vom Internet erreibar sein sollen als auch die Dienste, welche von innen genutzt werden sollen.

    Gruss, Andy
    echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
    >>> Programmierst Du noch oder patentierst Du schon... ? <<<

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •