Hallo johannes, johannes swoboda, 25.05.2006 (d.m.y):
> ich verwende grml-hd-installation mit debian testing
> ich habe meinen zugang mit dem inode-eigenen skript konfiguriert.
> ich habe ein paar regeln für iptables erstellt, die zur folge haben,
> dass mein internet mit diesen regeln nicht funktionert.
Ausserdem scheinen sie Deine Grossbuchstaben hinweggerafft zu haben.
> die fehlermeldung lautet: (auszug)
> .) Eine aktive Firewall blockiert ausgehende oder einkommende Pakete.
> Passen Sie gegenfalls die Firewall-Konfiguration Ihrer Distribution
> dementsprechend an, oder deaktivieren Sie sie vollständig.
Na toll.
Du solltest vielleicht nochmal erwaehnen, was Du da versucht hast und
was genau nicht geht.
> klar, meine firewall
Paketfilter.
> blockt einkommende pakete (außer sie gehören bereits
> zu einer bestehenden verbindung)
OK.
> es kann doch nicht sein, dass ich einkommende pakete akzeptieren muss...
> hier ist mein skript, vielleicht habe ich ja etwas falsch gemacht...
> #!/bin/bash
> # firewall
> #
> # Sa Mai 20 16:38:08 CEST 2006
> #######################
> #variablen
> ######################
> ipt="iptables"
Wuerde ich Durch /sbin/iptables ersetzen. Tut aber nichts zur Sache.
> allowed_ports="22"
> ######################
> #skript
> ######################
> #löscht alle regeln
> $ipt -F
> $ipt -X
> #standardregeln
> if [ "$1" = "down" ];
> then
> $ipt -P INPUT ACCEPT
> $ipt -P OUTPUT ACCEPT
> $ipt -P FORWARD ACCEPT
> exit
> fi
> #alle eingehenden pakete verwerfen
> $ipt -P INPUT DROP
> #alle ausgehenden pakete erlauben
> $ipt -P OUTPUT ACCEPT
> #forwarding deaktiviert
> $ipt -P FORWARD DROP
> $ipt -N input_chain
> #loopback interface OK
> $ipt -A INPUT -i lo -j ACCEPT
> #alle pakete, die hereinkommen, in die kette input_chain
Die eigene Kette dafuer kannst Du Dir IMO sparen.
> $ipt -A INPUT -i eth0 -j input_chain
> #gehört das schon zu einer verbindung? wenn ja, ok
> $ipt -A input_chain -m state --state ESTABLISHED,RELATED -j ACCEPT
> # IST DAS EINE neue verbindung auf port $allowed_ports
> $ipt -A input_chain -p tcp -m multiport --dport $allowed_ports -m state
> --state NEW -j ACCEPT
> $ipt -A input_chain -j DROP
Tipp: Definiere Dir im Anschluss noch eine Regel zum Loggen und danach
eine zum Rejecten. Dann kannst Du evtl. schon in Deinem Log sehen, wo
es hakt.
Gruss,
Christian Schmidt
--
Du kannst einen Elefanten festhalten, wenn er fliehen, aber nicht das
kleinste Haar auf deinem Kopf, wenn es fallen will.
-- Gerhard Hauptmann
signature.asc
Description: Digital signature
