Sebastian Kayser <[EMAIL PROTECTED]> wrote:
>* Claudius Hubig <[EMAIL PROTECTED]> wrote:
>> Jan Luehr <[EMAIL PROTECTED]> wrote:
>> >ja hallo erstmal,...
>> >
>> >Am Sonntag, 18. Dezember 2005 11:11 schrieb Claudius Hubig:
>> >
>> >> Hallo Liste,
>> >>
>> >> ich bin zur Zeit dabei, zu versuchen, mein Netzwerk mittels iptables
>> >> abzudichten. Dazu bin ich nach
>> >> http://www.online-tutorials.net/internet-netzwerk/iptables-tutorial/tutoria
>> >>ls-t-29-214.html vorgegangen, habe jetzt jedoch ein Problem mit der
>> >> Namenauflösung.
>> >>
>> >> "ping IP" funktioniert problemlos, während bspw. "ping google.de" nur
>> >> einen
>> >> "unknown host" meldet.
>> >>
>> >> Das zugehörige Script sieht folgendermaßen aus:
>> >>
>> >> #!/bin/bash
>> >> IPTABLES=/sbin/iptables
>> >> EXT_DEV=eth1
>> >> INT_NET=192.168.0.0/24
>> >> #Ports to Forward
>> >> FORWARD_1_TCP="21,22,25,53,80,110,119,443,1716,1717,1718,1719"
>> >> FORWARD_2_TCP="2341,2342,5050,5190,5222,6667,6668,8000,8080"
>> >> FORWARD_UDP="53,1716,1717,1718,1719"
>> >[...]
>> >
>> >> /sbin/iptables -t filter -A INPUT -p udp -m multiport
>> >> --dport $INPUT_UDP -j ACCEPT echo "Input Rules were set"
>>
>> Das kam bei dir so an? - Entschuldige bitte.
>>
>> >Müsste es hier nicht eher sport heißen?
>>
>> Mhm, ja, mit sport geht es - aber warum? Ich meine da kommt ja was
>> "Rein", das auf einen bestimmten Port will. Dieser ist doch "53", oder?
>> Der Sourceport dürfte da doch keine Rolle spielen. *verwirrtsei* - Da
>> werde ich auf alle Fälle nochmal was zu nachlesen - aber es geht ja
>> jetzt, danke :)
>
>Über das ACCEPT im OUTPUT-Table für Ziel-Port UDP/53 gingen die
>DNS-Anfragen zwar raus (von einem unpriviligierten Quell-Port >1024),
>die Antworten vom entfernten Port UDP/53 zurück an Deinen lokalen
>unpriviligierten Quell-Port UDP/>1024 kamen jedoch nicht mehr durch
>die Regeln Deines INPUT-Tables zurück.
>
>Mit Deinen aktuellen Regeln musst Du jeglichen Rückverkehr ebenfalls
>erlauben. Die Regel von Jan hat dies nun für DNS ermöglicht, mache es
>Dir hier einfacher und nimm eine Zeile a la
>
>iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>
>in Deinen INPUT-Table auf. Die erlaubt jeglichen Rückverkehr für
>ausgehende Verbindungen (insofern iptables mit dem Protokoll klarkommt,
>für FTP muss z.B. noch conntrack_ftp als Modul hinzugeladen werden).
Nun, da auf dem Rechner nur ein ssh- und HTTP-Server läuft scheint es
mir einfacher, den gewünschten UDP-Port freizugeben statt der o. g.
Regel. Trotzdem danke für den Hinweis, bei Bedarf werde ich wieder
darauf zurückgreifen.
Greetinx
Claudius
--
Claudius Hubig,= ,-_-. =.224491597
Es gibt auch Linux-Aussteiger. ((_/)o o(\_)) Y!M:opensource2017
Aber die Rückfallquote steigt mit `-'(. .)`-' claudiushubig.tk
jeder Win-Version. (Walter Saner) \_/ [EMAIL PROTECTED]
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
