Hallo Michael, On Wed, 27 Nov 2002 15:01:46 +0100 "Michael Langer" <[EMAIL PROTECTED]> wrote:
> ich habe mir ein Paketfilter mit iptables geschrieben! > Nun habe ich das Problem, daß weder mein Router noch > irgend ein Rechner aus dem Netzwerk ins Internet kann! > Kann mir jemand sagen wo ich einen denk Fehler habe > so das ich versuchen kann diesen zu beheben? Hmm, ich habe das Skript zwar nicht komplett analysiert, aber mir scheint, dass da nicht alles abgearbeitet wird, bzw. Fehler dazu fuehren, das einige Regeln nicht vorhanden sind. Als Beispiel wird der Befehl $IPTABLES -A bad_tcp_pakets -p tcp ! --syn -m state NEW -j LOG\ --log-prefix "New not syn" --log-level 9 gar nicht ausgefuehrt, da die Chain bad_tcp_pakets naemlich leer ist :-( Bei der Ausgabe von iptables -L ist klar, dass du keinen Rechner im Internet erreichen kannst: > Chain INPUT (policy DROP) > target prot opt source destination > bad_tcp_packets tcp -- anywhere anywhere > ACCEPT all -- anywhere anywhere > ACCEPT all -- anywhere p3EE3BF4C.dip.t-dialin.netstate > RELATED,ESTABLISHED hier muessten viel mehr Regeln stehen. Ausserdem macht dies so keinen Sinn, denn es werden hier *ALLE* ankommenden Pakete akzeptiert. > Chain FORWARD (policy DROP) > target prot opt source destination > bad_tcp_packets tcp -- anywhere anywhere > ACCEPT tcp -- anywhere 192.168.0.10 tcp > dpt:6699 > ACCEPT udp -- anywhere 192.168.0.10 udp > dpt:6257 Hier werden nur Pakete an den TCP-Port 6699 und den UDP-Port 6257 akzeptiert. > Chain OUTPUT (policy DROP) > target prot opt source destination > bad_tcp_packets tcp -- anywhere anywhere > ACCEPT all -- localhost anywhere > ACCEPT all -- 192.168.0.1 anywhere > ACCEPT all -- p3EE3BF4C.dip.t-dialin.net anywhere Und hier werden nur Pakete an localhost, 192.168.0.1 und an die Adresse deines ppp-Interfaces -> es geht nichts raus. Da musst Du wohl noch einiges an dem Skript ueberarbeiten. Lass es doch mal 'von Hand' laufen und schau dir die Fehlermeldungen an. Gruss Jens -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)