Re: IP-Tables macht komische Sachen
Am Samstag, 27. Dezember 2003 02:23 schrieb Christian Schmidt: [...] Wenn Du (Werner! ;-) eine entsprechende Webseite findest, waere es nett, den URL kurz hier zu posten. Ging hier im November über die Liste. Such, kram,warum geht eine Volltextsuche bei mir nicht so schnell wie auf der Enterprise?, ... voila! http://www.oreilly.de/german/freebooks/linuxfireger Ist wie gesagt LaTex, setzt also eine relativ komplette Tex-Umgebung voraus. Der Thread war (sic!): LaTex to pdf firewall-buch Gruss, Christian Gruß Gerhard -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: IP-Tables macht komische Sachen
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Am Samstag, 27. Dezember 2003 02:30 schrieb Christian Schmidt: Hallo Werner, Werner Mahr, 25.12.2003 (d.m.y): Am Donnerstag, 25. Dezember 2003 02:50 schrieb Christian Schmidt: Das Thema ist auch alles andere als trivial, und ich waere ein Luegner, wenn ich behaupten wuerde, mich da gut auszukennen... Das ist wahr. Kennst Du mich so gut oder bezieht sich Deine Aussage auf den ersten Teil meines Satzes? ;-) ...obwohl Du recht hast. ;-) Naürlich auf den ersten Teil, obwohl du anscheinend kompetent zu sein scheinst, und deshalb weißt, das man sich nie wirklich gut auskennen kann. Ein (wenn auch zeitaufwendiger) Ansatz waere folgender: Du setzt die Default Policies auf DROP und definierst fuer INPUT, FORWARD und OUTPUT jeweils eine einzige Regel, mit der Du jedes hantierte Paket loggen laesst. Nun versuchst Du sukzessive, jede der Aktionen, die Du gestatten willst, einmal durchzufuehren. Klar: Sie wird nicht funktioneren, weil der Paketfilter alles verschluckt. Aber anhand der Eintraege aus dem Kernel-Log kannst Du dann weitere Filterregeln entwickeln. Dieses Vorgehen ist aber recht zeitintensiv, und Du solltest schon ein gewissen KnowHow mitbringen, um aus den Logeintraegen die entsprechende Filterregel zum Zulassen der Pakete extrahieren zu koennen... Zeitaufwendig stimmt, aber mit dieser Methode, habe ich wahrscheinlich die genauesten Ergebisse. - -- MfG usw Werner Mahr GPG-Key-ID 44B53C40 Registered-Linux-User: 303822 (http://counter.li.org) ICQ-Nr. 317910541 -BEGIN PGP SIGNATURE- Version: GnuPG v1.0.6 (GNU/Linux) Comment: For info see http://www.gnupg.org iD8DBQE/7UW4MfnDfES1PEARAliiAJ9YX2lNcJku5QZOdLNj5oigJs541wCgjiY/ 9Nh4LPLDemoOyRlBOHmKJU4= =gIH8 -END PGP SIGNATURE- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: IP-Tables macht komische Sachen
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Am Freitag, 26. Dezember 2003 14:33 schrieb Andreas Kretschmer: [Eine wirklich gute Erklärung} Warum fängst du nicht an zu schreiben. Ich hab gestern mal das Onlinearchiv von Linuxuser durchsucht, da stand genau dasselbe drin, aber dein Text, obwohl er kürzer war, war wesentlich verständlicher. - -- MfG usw Werner Mahr GPG-Key-ID 44B53C40 Registered-Linux-User: 303822 (http://counter.li.org) ICQ-Nr. 317910541 -BEGIN PGP SIGNATURE- Version: GnuPG v1.0.6 (GNU/Linux) Comment: For info see http://www.gnupg.org iD8DBQE/7UbZMfnDfES1PEARAp1BAJ9pCslOYpdKeN/ojoyUJPGtxFYYnQCfW3/c gX6QG3RPKRSApLrm97b8M6A= =H06d -END PGP SIGNATURE- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: IP-Tables macht komische Sachen
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Am Freitag, 26. Dezember 2003 14:33 schrieb Andreas Kretschmer: Bleibt doch noch eine Frage: Lokal ... -p TCP --sport 1024: --dport 22 -j ACCEPT # (eingehend) ... -p TCP --sport 22 --dport 1024: -j ACCEPT # (ausgehend) NAT - outgoing Ziel-Port 22 ist - eingehend Source-Port 22 ist Lokal kommt eingehend die Verbindung von 1024 auf PORT 22 rein. Lokal geht augehend die Verbindung von 22 auf 1024 raus. Warum ist das bei NAT genau umgekehrt, ich dachte die Verbindung zum Server läuft genauso ab, nur halt das der Server die Anfrage nicht selbst bearbeitet, sondern alles nur weiterleitet. - -- MfG usw Werner Mahr GPG-Key-ID 44B53C40 Registered-Linux-User: 303822 (http://counter.li.org) ICQ-Nr. 317910541 -BEGIN PGP SIGNATURE- Version: GnuPG v1.0.6 (GNU/Linux) Comment: For info see http://www.gnupg.org iD8DBQE/7Um+MfnDfES1PEARAv4VAJ4q2hOiJxpmkp5CMbXlmPbEFWO07QCgm3z6 zX4MVtKd7KEiHr39Z8aswGk= =/K7e -END PGP SIGNATURE- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: IP-Tables macht komische Sachen
am Sat, dem 27.12.2003, um 9:58:35 +0100 mailte Werner Mahr folgendes: Am Freitag, 26. Dezember 2003 14:33 schrieb Andreas Kretschmer: Bleibt doch noch eine Frage: Lokal ... -p TCP --sport 1024: --dport 22 -j ACCEPT # (eingehend) ... -p TCP --sport 22 --dport 1024: -j ACCEPT # (ausgehend) NAT - outgoing Ziel-Port 22 ist - eingehend Source-Port 22 ist Lokal kommt eingehend die Verbindung von 1024 auf PORT 22 rein. Lokal geht augehend die Verbindung von 22 auf 1024 raus. Warum ist das bei NAT genau umgekehrt, ich dachte die Verbindung zum Server läuft genauso ab, nur halt das der Server die Anfrage nicht selbst bearbeitet, sondern alles nur weiterleitet. NAT: Client: 192.168.0.1, Port 3 NAT-Gateway: 192.168.0.100 lokal, 123.123.123.123 extern Ziel: 234.234.234.234 Client will SSH zu Ziel aufbauen 192.168.0.1:3 - 234.234.234.234:22 NAT-Gateway macht daraus: 123.123.123.123:4 - 234.234.234.234:22 Antwort: 234.234.234.234:22 - 123.123.123.123:4 NAT-Gateway macht daraus: 234.234.234.234:22 - 192.168.0.1:3 Die Pakete gehen also 2 mal durch das NAT-Gateway: - raus: SRC-Port 4, DST-Port 22 - rein: SRC-Port 22, DST-Port 3 Nach den Client-Ports zu filtern geht nicht, die sind nicht fix. Also filtere ich nach den Ports des Dienstes und muß mir überlegen, in welcher Richtung ich diese sehe. Das NAT-Gateway selber ist weder Ziel noch Quelle¹, es steht halt eben nur so rum ;-) und beobachtet die Pakete. ¹ vom Standpunkt der SSH-Verbindung aus gesehen, nicht vom physikalischen Weg der Pakete. Ja, all das mag zuerst etwas verwirrend sein. Aber irgendwie auch faszinierend, oder? ;-) Andreas -- Diese Message wurde erstellt mit freundlicher Unterstützung eines freilau- fenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert frei von Micro$oft'schen Viren. (#97922 http://counter.li.org) GPG 7F4584DA Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082°, E 13.56889° ;-) pgp0.pgp Description: PGP signature
Re: IP-Tables macht komische Sachen
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Am Samstag, 27. Dezember 2003 11:01 schrieb Andreas Kretschmer: Ja, all das mag zuerst etwas verwirrend sein. Aber irgendwie auch faszinierend, oder? ;-) Allerdings, jetz kenn ich auch meinen Fehler, ich versuch immer als Gateway zu denken. Jetzt versteh ich auch warum mein Squid nicht funktioniert hat. Den DNS hatte ich zum lokalen freigegeben, aber nicht vom Gateway ins Netz, und dann hab ich nur Verbindungen von 3128 nach überall akzeptiert. Jetzt läufts, mit der Einstellung, alles was zu ESTABLISHED oder RELATED ist, wird vom Netz aus angenommen. Neue von ausserhalb nicht. Ich denke mal das ist das sicherste. Muss jetzt nur noch testen ob die Einwahl auch funktioniert, wenn die Telekom wieder getrennt hat. - -- MfG usw Werner Mahr GPG-Key-ID 44B53C40 Registered-Linux-User: 303822 (http://counter.li.org) ICQ-Nr. 317910541 -BEGIN PGP SIGNATURE- Version: GnuPG v1.0.6 (GNU/Linux) Comment: For info see http://www.gnupg.org iD8DBQE/7aYLMfnDfES1PEARAr8HAKCP54hozT08b1Cb19OYFfWwSJ9WYgCeIxYO AQUzrpXp4SV6OACor1MpH2E= =WWDZ -END PGP SIGNATURE- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: IP-Tables macht komische Sachen
am Thu, dem 25.12.2003, um 12:02:22 +0100 mailte Werner Mahr folgendes: Wäre ganz gut wenn ich das vorher wüsste. Soweit ich mich an meine Ausbildung erriner, läuft die Kommunikation doch so ab: SSH, Anfrage an PORT 22 - Antwort mit zu verwendenden PORT - Kommunikation über diesen PORT. Ist ja logisch, sonsts könnte ich ja nur eine Sitzung nutzen. Diese Verbindung muss aber laufen. Nein. Eine IP-Verbindung(TCP, UDP) ist durch 5¹ Dinge beschrieben: - Quelladresse - Zieladresse - Quellport - Zielport - Protokoll Mein lokaler SSH-Server rennt auf Port 22/TCP. Ich kann nun mich lokal z.B. 2 mal damit verbinden: kaufbach:/home/kretschmer# netstat -anpt | grep ssh tcp0 0 0.0.0.0:22 0.0.0.0:* LISTEN 4017/sshd tcp0 0 127.0.0.1:22127.0.0.1:33351 VERBUNDEN 4041/sshd tcp0 0 127.0.0.1:22127.0.0.1:33352 VERBUNDEN 4051/sshd tcp0 0 127.0.0.1:33351 127.0.0.1:22VERBUNDEN 4040/ssh tcp0 0 127.0.0.1:33352 127.0.0.1:22VERBUNDEN 4050/ssh Die Clients haben die PID 4040 und 4050, der SSH-Server startet jeweil eine eigene, neue Instanz seiner selbst mit den PID 4041 und 4051. Beide werkeln auf Port 22, außerdem der sshd mit der PID 4017. Wenn Du also SSH freigeben willst, wäre sowas sinnvoll: (Lokal) ... -p TCP --sport 1024: --dport 22 -j ACCEPT # (eingehend) ... -p TCP --sport 22 --dport 1024: -j ACCEPT # (ausgehend) (wobei ich OUTPUT i.d.R. auf ACCEPT habe) Willst Du SSH für Clients im Netz (NAT) erlauben, solltest Du also beachten, daß: - outgoing Ziel-Port 22 ist - eingehend Source-Port 22 ist Du brauchst also 2 Regeln, und zwar in der FORWARD-Chain. ¹ es gibt andere Protokolle, wo das so nicht mehr stimmt. ESP, AH zum Bleistift. Andreas -- Diese Message wurde erstellt mit freundlicher Unterstützung eines freilau- fenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert frei von Micro$oft'schen Viren. (#97922 http://counter.li.org) GPG 7F4584DA Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082°, E 13.56889° ;-) pgp0.pgp Description: PGP signature
Re: IP-Tables macht komische Sachen
Hallo Werner, Werner Mahr, 25.12.2003 (d.m.y): Am Donnerstag, 25. Dezember 2003 02:50 schrieb Christian Schmidt: Das Thema ist auch alles andere als trivial, und ich waere ein Luegner, wenn ich behaupten wuerde, mich da gut auszukennen... Das ist wahr. Kennst Du mich so gut oder bezieht sich Deine Aussage auf den ersten Teil meines Satzes? ;-) ...obwohl Du recht hast. ;-) Die kannst Du Dir in dem Setup aber genausogut sparen: Deine Default Policy steht jeweils auf ACCEPT, und zusaetzlich erlaubst Du dem System, ueber lo mit sich selbst zu kommunizieren - was es aber gemaess der Default Policy ohnehin schon darf... Zu dem Zeitpunkt stand sie auf ACCEPT, weil ich noch am experimentieren bin. Ich schalte öfter hin und her, wenn ich was neues ausprobiere, und sie umschalte, sollte aber lo wieter funktionieren. Ein (wenn auch zeitaufwendiger) Ansatz waere folgender: Du setzt die Default Policies auf DROP und definierst fuer INPUT, FORWARD und OUTPUT jeweils eine einzige Regel, mit der Du jedes hantierte Paket loggen laesst. Nun versuchst Du sukzessive, jede der Aktionen, die Du gestatten willst, einmal durchzufuehren. Klar: Sie wird nicht funktioneren, weil der Paketfilter alles verschluckt. Aber anhand der Eintraege aus dem Kernel-Log kannst Du dann weitere Filterregeln entwickeln. Dieses Vorgehen ist aber recht zeitintensiv, und Du solltest schon ein gewissen KnowHow mitbringen, um aus den Logeintraegen die entsprechende Filterregel zum Zulassen der Pakete extrahieren zu koennen... Gruss, Christian -- Sprachlexikon-Namen: CARMEN - Automechaniker (amerik.) pgp0.pgp Description: PGP signature
Re: IP-Tables macht komische Sachen
Hallo Gerhard, Gerhard Brauer, 25.12.2003 (d.m.y): Es gibt ein recht gutes Buch in deutsch zu Firewall und iptables. Dieses kannst du dir auch als Quellcode frei herunterladen und dann mit latex ein Postscript oder PDF erstellen. Die genaue Quelle kann ich dir leider nicht mehr sagen, erschienen ist das Buch im O'Reily-Verlag, der Autor ist Andreas G. Lessing, der Titel ist Linux Firewalls - Ein praktischer Einstieg Wenn du danach googlest dürtest du auf den Latex-Code bzw. die Downloadseite stoßen. Wenn Du (Werner! ;-) eine entsprechende Webseite findest, waere es nett, den URL kurz hier zu posten. Gruss, Christian -- Letzte Worte eines Dachdeckers: Eigentlich recht windstill. pgp0.pgp Description: PGP signature
Re: IP-Tables macht komische Sachen
Hallo Werner, Werner Mahr, 25.12.2003 (d.m.y): Loggen hab ich versucht, dummerweise hat er alles auf die Console geschrieben, und sie damit unbrauchbar gemacht. Wie Du das abstellen kannst, rauschte hier vor kurzem erst wieder einmal durch. Ansonsten hilft auch das Abgrasen der einschlaegigen FAQ-Sammlungen. Gruss, Christian -- ... und es gibt doch einen Leben vor dem Tod! pgp0.pgp Description: PGP signature
Re: IP-Tables macht komische Sachen
am Thu, dem 25.12.2003, um 2:50:05 +0100 mailte Christian Schmidt folgendes: Die kannst Du Dir in dem Setuo aber genausogut sparen: Deine Default Policy steht jeweils auf ACCEPT, und zusaetzlich erlaubst Du dem Er hat ein Setup, in dem alles erlaubt ist, und will nun aber filtern und sich mit der Materie beschäftigen. Sein Problem ist eher, daß er es möglichst über eine Klick-Oberfläche machen will, ohne die Funktionsweise von netfilter/iptables zu verstehen. Andreas -- Diese Message wurde erstellt mit freundlicher Unterstützung eines freilau- fenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert frei von Micro$oft'schen Viren. (#97922 http://counter.li.org) GPG 7F4584DA Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082°, E 13.56889° ;-) pgp0.pgp Description: PGP signature
Re: IP-Tables macht komische Sachen
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Am Donnerstag, 25. Dezember 2003 02:50 schrieb Christian Schmidt: Das Thema ist auch alles andere als trivial, und ich waere ein Luegner, wenn ich behaupten wuerde, mich da gut auszukennen... Das ist wahr. Die kannst Du Dir in dem Setuo aber genausogut sparen: Deine Default Policy steht jeweils auf ACCEPT, und zusaetzlich erlaubst Du dem System, ueber lo mit sich selbst zu kommunizieren - was es aber gemaess der Default Policy ohnehin schon darf... Zu dem Zeitpunkt stand sie auf ACCEPT, weil ich noch am experimentieren bin. Ich schalte öfter hin und her, wenn ich was neues ausprobiere, und sie umschalte, sollte aber lo wieter funktionieren. - -- MfG usw Werner Mahr GPG-Key-ID 44B53C40 Registered-Linux-User: 303822 (http://counter.li.org) ICQ-Nr. 317910541 -BEGIN PGP SIGNATURE- Version: GnuPG v1.0.6 (GNU/Linux) Comment: For info see http://www.gnupg.org iD8DBQE/6sFhMfnDfES1PEARAmIuAJ9jsqqj02JDDmWfa0BQMBHLOQ684gCgmA5U wJesOMG+EE/rj5d932WKwkA= =g4+u -END PGP SIGNATURE- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: IP-Tables macht komische Sachen
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Am Mittwoch, 24. Dezember 2003 22:59 schrieb Andreas Kretschmer: Du solltest die 'Tuts' lesen, nicht nur drüber labern ;-) OK, ich weiß nicht wies bei dir aussieht, aber mein Englisch ist ein wenig eingerostet. Und was ich über das Tut von Rusty gesagt habe sollte dir bekannt sein. Wenn ich mir eine Meinung darüber bilde, hab ich es gelesen. In FORWARD mußt Du für jedes Protokoll, z.B. SSH, sowohl Hin-, als auch Rückweg freischalten. Wie du anscheinend nicht mitbekommen hast, versuche ich SSH (und andere) lokal (nur für die Kommunikation mit dem Server freizuschalten. Vielleicht bin ich zu doof den Hintergrund deines Satzes zu verstehen, aber ich denke nicht das das was mit FORWARD zu tun hat. Die Daten gehen in den Rechner rein (INPUT), und gehen aus dem Rechner raus (OUTPUT). Durch den Rechner (FORWARD) geht dieses Protokoll nicht, und bis die anderen drankommen, sollte ichs vertsanden haben. - -- MfG usw Werner Mahr GPG-Key-ID 44B53C40 Registered-Linux-User: 303822 (http://counter.li.org) ICQ-Nr. 317910541 -BEGIN PGP SIGNATURE- Version: GnuPG v1.0.6 (GNU/Linux) Comment: For info see http://www.gnupg.org iD8DBQE/6sLXMfnDfES1PEARAp+IAJ9kxfFgz+xYgkg6YZm5EpHtkgBO2ACcC6Y8 q4KpMeEz7GlxIfdKxg1S6g4= =jaku -END PGP SIGNATURE- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: IP-Tables macht komische Sachen
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Am Donnerstag, 25. Dezember 2003 02:54 schrieb Christian Schmidt: Hallo Werner, Werner Mahr, 24.12.2003 (d.m.y): Wie schon gesagt, die Tuts. Wer tut es? Oder meinst Du Tutorials? Dann schreib das doch bitte auch. Tut's. Sorry Nun, netfilter kann schon erkennen, ob IP-Pakete zu einer bestehenden Verbindung gehoeren - allerdings ist das fuer den Anfang wohl dann doch ein wenig zuviel des Guten... Bei Interesse kannst Du Dich mal in man iptables nach dem Wortstamm state umschauen. Wäre ganz gut wenn ich das vorher wüsste. Soweit ich mich an meine Ausbildung erriner, läuft die Kommunikation doch so ab: SSH, Anfrage an PORT 22 - Antwort mit zu verwendenden PORT - Kommunikation über diesen PORT. Ist ja logisch, sonsts könnte ich ja nur eine Sitzung nutzen. Diese Verbindung muss aber laufen. - -- MfG usw Werner Mahr GPG-Key-ID 44B53C40 Registered-Linux-User: 303822 (http://counter.li.org) ICQ-Nr. 317910541 -BEGIN PGP SIGNATURE- Version: GnuPG v1.0.6 (GNU/Linux) Comment: For info see http://www.gnupg.org iD8DBQE/6sPCMfnDfES1PEARAiJVAKCK79tKlrni//5R5LxCK+gLr6KhqgCeIz5g YTAeBdCq8gx3I+e1XgN65d8= =Qq/b -END PGP SIGNATURE- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: IP-Tables macht komische Sachen
am Thu, dem 25.12.2003, um 11:58:27 +0100 mailte Werner Mahr folgendes: Am Mittwoch, 24. Dezember 2003 22:59 schrieb Andreas Kretschmer: Du solltest die 'Tuts' lesen, nicht nur drüber labern ;-) OK, ich weiß nicht wies bei dir aussieht, aber mein Englisch ist ein wenig eingerostet. Und was ich über das Tut von Rusty gesagt habe geht so... Es gibt aber dort auch ganz brauchbare deutsche Übersetzungen. Schon gefunden? In FORWARD mußt Du für jedes Protokoll, z.B. SSH, sowohl Hin-, als auch Rückweg freischalten. Wie du anscheinend nicht mitbekommen hast, versuche ich SSH (und andere) lokal (nur für die Kommunikation mit dem Server Ich ging von einem Szenario mit NAT aus. Ansonsten: alle Pakete, die man wegwirft, vorher loggen. Andreas -- Diese Message wurde erstellt mit freundlicher Unterstützung eines freilau- fenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert frei von Micro$oft'schen Viren. (#97922 http://counter.li.org) GPG 7F4584DA Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082°, E 13.56889° ;-) pgp0.pgp Description: PGP signature
Re: IP-Tables macht komische Sachen
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Am Donnerstag, 25. Dezember 2003 14:10 schrieb Andreas Kretschmer: Es gibt aber dort auch ganz brauchbare deutsche Übersetzungen. Schon gefunden? Bis jetzt noch nicht, aber nach den Feirtagen hab ich mehr Zeit zum Suchen. Ich ging von einem Szenario mit NAT aus. NAT kommt, wenn das lokale Zeug läuft. Ansonsten: alle Pakete, die man wegwirft, vorher loggen. Loggen hab ich versucht, dummerweise hat er alles auf die Console geschrieben, und sie damit unbrauchbar gemacht. - -- MfG usw Werner Mahr GPG-Key-ID 44B53C40 Registered-Linux-User: 303822 (http://counter.li.org) ICQ-Nr. 317910541 -BEGIN PGP SIGNATURE- Version: GnuPG v1.0.6 (GNU/Linux) Comment: For info see http://www.gnupg.org iD8DBQE/6uipMfnDfES1PEARAqk9AJoCtkPNhX5sKWetpq5HOOcCIU6GTwCeOP7W dqGo/3BlayJ+EZr86p5eMPg= =J++8 -END PGP SIGNATURE- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: IP-Tables macht komische Sachen
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Am Donnerstag, 25. Dezember 2003 10:41 schrieb Andreas Kretschmer: Er hat ein Setup, in dem alles erlaubt ist, und will nun aber filtern und sich mit der Materie beschäftigen. Sein Problem ist eher, daß er es möglichst über eine Klick-Oberfläche machen will, ohne die Funktionsweise von netfilter/iptables zu verstehen. Fast richtig. Mit IPTables, will ich mich schon beschäftigen, habe aber keine verständlichen Anleitungen gefunden (mit Englisch hab ich nicht so). Anscheinend hab ich aber an den falschen stellen gesucht. Eine Oberfläche kann ich nur effektiv einsetzen, wenn ich die Grundlagen kenne. Btw. ist iptables nicht gerade Benutzerfreundlich. Und ipmenu hat auch nicht viel mit klicken zu tun. - -- MfG usw Werner Mahr GPG-Key-ID 44B53C40 Registered-Linux-User: 303822 (http://counter.li.org) ICQ-Nr. 317910541 -BEGIN PGP SIGNATURE- Version: GnuPG v1.0.6 (GNU/Linux) Comment: For info see http://www.gnupg.org iD8DBQE/6ulrMfnDfES1PEARApLGAJ9mDahvbfnBzfkqMQiqFKWyl2XhOwCfbrCe srSVwxAh6sAfPn/uta8Hods= =Zppk -END PGP SIGNATURE- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: IP-Tables macht komische Sachen
Am Donnerstag, 25. Dezember 2003 14:43 schrieb Werner Mahr: Fast richtig. Mit IPTables, will ich mich schon beschäftigen, habe aber keine verständlichen Anleitungen gefunden (mit Englisch hab ich nicht so). Anscheinend hab ich aber an den falschen stellen gesucht. Eine Oberfläche kann ich nur effektiv einsetzen, wenn ich die Grundlagen kenne. Btw. ist iptables nicht gerade Benutzerfreundlich. Und ipmenu hat auch nicht viel mit klicken zu tun. Es gibt ein recht gutes Buch in deutsch zu Firewall und iptables. Dieses kannst du dir auch als Quellcode frei herunterladen und dann mit latex ein Postscript oder PDF erstellen. Die genaue Quelle kann ich dir leider nicht mehr sagen, erschienen ist das Buch im O'Reily-Verlag, der Autor ist Andreas G. Lessing, der Titel ist Linux Firewalls - Ein praktischer Einstieg Wenn du danach googlest dürtest du auf den Latex-Code bzw. die Downloadseite stoßen. Bei Bedarf kann ich es dir auch als PDF schicken (ca. 3 MB) Das Buch ist wirklich gut für den Einstieg, v.a. weil es direkt auf die iptables-Struktur eingeht (was dir von der Liste ja auch immer empfohlen wurde) und diese IMHO gut erklärt. Gruß Gerhard -- MfG usw Werner Mahr GPG-Key-ID 44B53C40 Registered-Linux-User: 303822 (http://counter.li.org) ICQ-Nr. 317910541 -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: IP-Tables macht komische Sachen
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Am Donnerstag, 25. Dezember 2003 15:03 schrieb Gerhard Brauer: Es gibt ein recht gutes Buch in deutsch zu Firewall und iptables. Dieses kannst du dir auch als Quellcode frei herunterladen und dann mit latex ein Postscript oder PDF erstellen. Die genaue Quelle kann ich dir leider nicht mehr sagen, erschienen ist das Buch im O'Reily-Verlag, der Autor ist Andreas G. Lessing, der Titel ist Linux Firewalls - Ein praktischer Einstieg Das hab ich gestern Abend gesehen, wollte es mir dann auch mal genauer ansehen. Wenn du danach googlest dürtest du auf den Latex-Code bzw. die Downloadseite stoßen. Bei Bedarf kann ich es dir auch als PDF schicken (ca. 3 MB) Das wäre ganz praktisch, weil ich dann keine zusätzlichen Tools installieren müsste. Adresse hast du ja. Das Buch ist wirklich gut für den Einstieg, v.a. weil es direkt auf die iptables-Struktur eingeht (was dir von der Liste ja auch immer empfohlen wurde) und diese IMHO gut erklärt. Hört sich an, als wäre das genau das was ich suche. - -- MfG usw Werner Mahr GPG-Key-ID 44B53C40 Registered-Linux-User: 303822 (http://counter.li.org) ICQ-Nr. 317910541 -BEGIN PGP SIGNATURE- Version: GnuPG v1.0.6 (GNU/Linux) Comment: For info see http://www.gnupg.org iD8DBQE/6xa+MfnDfES1PEARAlEkAKCCT6VDWvG83YhkKryfqIRtpDorkgCfXkeK 9k1sTMHK3WZz/t+PrSNDreM= =rUS1 -END PGP SIGNATURE- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: IP-Tables macht komische Sachen
am Wed, dem 24.12.2003, um 10:01:28 +0100 mailte Werner Mahr folgendes: Servus, ich blick bald net mehr durch. Ich bingrade am experimentieren mit IPTables, und wollte ein Programm nach dem anderen über masqerading ins Netz bringen. Die ganze Zeit habe ich einfach alles durchgelassen, jetzt hab ich meinen Bruder mit angeschlossen, und wollte das ganze halt ein wenig beschränken. geNATete Verbindungen filtert man in FORWARD. Du hast dort sicher ein ACCEPT stehen, und keinerlei Regeln. Andreas -- Diese Message wurde erstellt mit freundlicher Unterstützung eines freilau- fenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert frei von Micro$oft'schen Viren. (#97922 http://counter.li.org) GPG 7F4584DA Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082°, E 13.56889° ;-) pgp0.pgp Description: PGP signature
Re: IP-Tables macht komische Sachen
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Am Mittwoch, 24. Dezember 2003 10:23 schrieb Andreas Kretschmer: geNATete Verbindungen filtert man in FORWARD. Du hast dort sicher ein ACCEPT stehen, und keinerlei Regeln. SE-Home:/etc/postfix# iptables -t FORWARD -L iptables v1.2.6a: can't initialize iptables table `FORWARD': Table does not exist (do you need to insmod?) Ich habe nur diese eine Regel. Wie kann ich das denn ändern, falls da wirklich eine FORWARD Regel drinsteht. - -- MfG usw Werner Mahr GPG-Key-ID 44B53C40 Registered-Linux-User: 303822 (http://counter.li.org) ICQ-Nr. 317910541 -BEGIN PGP SIGNATURE- Version: GnuPG v1.0.6 (GNU/Linux) Comment: For info see http://www.gnupg.org iD8DBQE/6WU7MfnDfES1PEARAnCdAKCVW11s/1tTm15Dup7rXuSYtIQbEACfc7Ah qEq9FNlBbmqDZwrZjtKsb1E= =9Ekv -END PGP SIGNATURE- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: IP-Tables macht komische Sachen
am Wed, dem 24.12.2003, um 11:06:48 +0100 mailte Werner Mahr folgendes: Am Mittwoch, 24. Dezember 2003 10:23 schrieb Andreas Kretschmer: geNATete Verbindungen filtert man in FORWARD. Du hast dort sicher ein ACCEPT stehen, und keinerlei Regeln. SE-Home:/etc/postfix# iptables -t FORWARD -L iptables v1.2.6a: can't initialize iptables table `FORWARD': Table does not exist (do you need to insmod?) laß das -t FORWARD weg. Ich habe nur diese eine Regel. Wie kann ich das denn ändern, falls da wirklich eine FORWARD Regel drinsteht. Die FORWARD-Chain steht per default auf ACCEPT. ,[ Kurzdemo ] | kaufbach:~# iptables -A FORWARD -p tcp --dport 80 -j REJECT | kaufbach:~# iptables -L -v -n | Chain INPUT (policy ACCEPT 0 packets, 0 bytes) | pkts bytes target prot opt in out source destination | 17597 43M block all -- * * 0.0.0.0/00.0.0.0/0 | | Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) | pkts bytes target prot opt in out source destination | 0 0 REJECT tcp -- * * 0.0.0.0/00.0.0.0/0 tcp dpt:80 reject-with icmp-port-unreachable ` Andreas -- Diese Message wurde erstellt mit freundlicher Unterstützung eines freilau- fenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert frei von Micro$oft'schen Viren. (#97922 http://counter.li.org) GPG 7F4584DA Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082°, E 13.56889° ;-) pgp0.pgp Description: PGP signature
Re: IP-Tables macht komische Sachen
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Ich versuch einfach alles außer bestimmten Ports zu blocken. Wenn ich als erste Regel ein Reject all von Anywhere mach, un danach einzelne wieder auf accept stelle, sollte es auf disem Port doch möglich sein, zumindest auf lokale Dienste zuzugreifen. - -- MfG usw Werner Mahr GPG-Key-ID 44B53C40 Registered-Linux-User: 303822 (http://counter.li.org) ICQ-Nr. 317910541 -BEGIN PGP SIGNATURE- Version: GnuPG v1.0.6 (GNU/Linux) Comment: For info see http://www.gnupg.org iD8DBQE/6ZrUMfnDfES1PEARAmwgAJ9ZwrPDnSz0hDeNc7rVa9A6jhAccwCffQpr Arqwtq52g5+5W+G+Ga8UUAc= =spFD -END PGP SIGNATURE- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: IP-Tables macht komische Sachen
Hallo Werner, Werner Mahr, 24.12.2003 (d.m.y): Am Mittwoch, 24. Dezember 2003 10:23 schrieb Andreas Kretschmer: geNATete Verbindungen filtert man in FORWARD. Du hast dort sicher ein ACCEPT stehen, und keinerlei Regeln. SE-Home:/etc/postfix# iptables -t FORWARD -L iptables v1.2.6a: can't initialize iptables table `FORWARD': Table does not exist (do you need to insmod?) Ich habe nur diese eine Regel. Wie kann ich das denn ändern, falls da wirklich eine FORWARD Regel drinsteht. FORWARD ist (wie das System Dir auch schon sagt) keine Tabelle, sondern eine Kette. Gruss, Christian -- F: Wie bekommt man einen Elefanten in eine Telefonzelle? A: Tür auf, Elefant rein, Tür zu. pgp0.pgp Description: PGP signature
Re: IP-Tables macht komische Sachen
am Wed, dem 24.12.2003, um 14:55:27 +0100 mailte Werner Mahr folgendes: Ich versuch einfach alles außer bestimmten Ports zu blocken. Soweit richtig. Wenn ich als erste Regel ein Reject all von Anywhere mach, un danach einzelne wieder auf accept stelle, sollte es auf disem Port doch Nein. Man stellt als Policy DROP ein (am Anfang), erlaubt dann alles, was erlaubt sein soll, loggt dann den Rest (zumindest für den Anfang zum debuggen) und REJECTed dann. Die erste Regel, die 'trifft' wird ausgeführt. Was danach steht, nicht mehr. Verbietest Du also zuerst alles mit einen REJECT, geht dann nix mehr. möglich sein, zumindest auf lokale Dienste zuzugreifen. Lokale Dienste werden aber nicht in FORWARD getroffen, dafür ist dann INPUT/OUTPUT zuständig. -- Diese Message wurde erstellt mit freundlicher Unterstützung eines freilau- fenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert frei von Micro$oft'schen Viren. (#97922 http://counter.li.org) GPG 7F4584DA Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082°, E 13.56889° ;-) pgp0.pgp Description: PGP signature
Re: IP-Tables macht komische Sachen
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Am Mittwoch, 24. Dezember 2003 15:05 schrieb Andreas Kretschmer: Nein. Man stellt als Policy DROP ein (am Anfang), erlaubt dann alles, was erlaubt sein soll, loggt dann den Rest (zumindest für den Anfang zum debuggen) und REJECTed dann. Ich benutze ipmenu, weil lokkit einfach nicht laufen will. Ich habe jetzt einfach mal Probiert, nur ssh auf den Server freizugeben. Policy auf drop, dann von 192.168.1.0/24 src-port 22 accept. Schon muss ich ummschalten, weil die ssh-sitzung nicht mehr läuft. - -- MfG usw Werner Mahr GPG-Key-ID 44B53C40 Registered-Linux-User: 303822 (http://counter.li.org) ICQ-Nr. 317910541 -BEGIN PGP SIGNATURE- Version: GnuPG v1.0.6 (GNU/Linux) Comment: For info see http://www.gnupg.org iD8DBQE/6adbMfnDfES1PEARAhnHAJ9hv4T7FLeBlRapMG4Pe5pF3bEzRwCfQyxp lGQxfEwlg52XUvYGj+HCrmQ= =Wn7I -END PGP SIGNATURE- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: IP-Tables macht komische Sachen
Hallo Werner, Werner Mahr, 24.12.2003 (d.m.y): Ich benutze ipmenu, weil lokkit einfach nicht laufen will. Warum probierst Du es nicht einfach mit iptables direkt? Ich habe jetzt einfach mal Probiert, nur ssh auf den Server freizugeben. Policy auf drop, dann von 192.168.1.0/24 src-port 22 accept. Schon muss ich ummschalten, weil die ssh-sitzung nicht mehr läuft. Und wie sieht das gesamte Regelwerk aus? iptables -nL zeigt es Dir. Gruss, Christian -- Aus Murphy's Gesetze: Auch in einem sonst gänzlich leeren Umkleideraum hat der einzige andere immer das Schließfach direkt neben deinem. pgp0.pgp Description: PGP signature
Re: IP-Tables macht komische Sachen
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Am Mittwoch, 24. Dezember 2003 16:13 schrieb Christian Schmidt: Und wie sieht das gesamte Regelwerk aus? iptables -nL zeigt es Dir. Ergänzung: Und das Msqerading fehlt vollständig, ist aber aktiviert. Zumindest für ausgehende Verbindungen nach überall. - -- MfG usw Werner Mahr GPG-Key-ID 44B53C40 Registered-Linux-User: 303822 (http://counter.li.org) ICQ-Nr. 317910541 -BEGIN PGP SIGNATURE- Version: GnuPG v1.0.6 (GNU/Linux) Comment: For info see http://www.gnupg.org iD8DBQE/6b5nMfnDfES1PEARAkOPAJ0SkDM/2x4jmcov3BwILAFtgdpFIQCfRXtS 2S25xhqVo46Sr9O37QFKWTA= =iIsA -END PGP SIGNATURE- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: IP-Tables macht komische Sachen
am Wed, dem 24.12.2003, um 15:48:55 +0100 mailte Werner Mahr folgendes: Am Mittwoch, 24. Dezember 2003 15:05 schrieb Andreas Kretschmer: Nein. Man stellt als Policy DROP ein (am Anfang), erlaubt dann alles, was erlaubt sein soll, loggt dann den Rest (zumindest für den Anfang zum debuggen) und REJECTed dann. Ich benutze ipmenu, weil lokkit einfach nicht laufen will. Ich habe Ich benutze $EDITOR und iptables direkt, weil ich zu faul bin, neben den Grundlagen noch die Bedienung von $TOOL zu erlernen. Pure Faulheit, ehrlich. jetzt einfach mal Probiert, nur ssh auf den Server freizugeben. Policy auf drop, dann von 192.168.1.0/24 src-port 22 accept. Schon muss ich ummschalten, weil die ssh-sitzung nicht mehr läuft. Daß Kommunikation bi-direktional ist, ist aber bekannt, oder? Andreas -- Diese Message wurde erstellt mit freundlicher Unterstützung eines freilau- fenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert frei von Micro$oft'schen Viren. (#97922 http://counter.li.org) GPG 7F4584DA Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082°, E 13.56889° ;-) pgp0.pgp Description: PGP signature
Re: IP-Tables macht komische Sachen
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Am Mittwoch, 24. Dezember 2003 16:13 schrieb Christian Schmidt: Warum probierst Du es nicht einfach mit iptables direkt? Bis jetzt hab ich fast ausschlieslich verweise auf das Tut von Russel irgenwas gefunden, das ist zwar besser als die anderen Treffer, aber nicht sehr verständlich geschrieben. Immer nur spezifische Fälle, und keine erklärung warum was wie gemacht wird. Immer nur was es bewirkt. Und wie sieht das gesamte Regelwerk aus? iptables -nL zeigt es Dir. SE-Home:/home/werner# iptables -nL Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- 0.0.0.0/00.0.0.0/0 Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- 0.0.0.0/00.0.0.0/0 SE-Home:/home/werner# Sieht für mich nicht komplett aus. Zum Beispiel fehlen die Devices. Die Regel in IN/OUTPUT sind eigentlich nur für lo. - -- MfG usw Werner Mahr GPG-Key-ID 44B53C40 Registered-Linux-User: 303822 (http://counter.li.org) ICQ-Nr. 317910541 -BEGIN PGP SIGNATURE- Version: GnuPG v1.0.6 (GNU/Linux) Comment: For info see http://www.gnupg.org iD8DBQE/6dZvMfnDfES1PEARAo2RAJ4ylANscicNB3XBSW62k0x/kzhHzgCfX0lE K+bbNmN7zqQKst2nSqVx0fE= =WK1p -END PGP SIGNATURE- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: IP-Tables macht komische Sachen
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Am Mittwoch, 24. Dezember 2003 18:34 schrieb Andreas Kretschmer: Ich benutze $EDITOR und iptables direkt, weil ich zu faul bin, neben den Grundlagen noch die Bedienung von $TOOL zu erlernen. Pure Faulheit, ehrlich. Wie schon gesagt, die Tuts. (Müsste in der Mail stehen, auf die sich die Ergänzung bezieht, hatte ich aus versehen als PM geschickt. Hab sie jetzt aber nachgereicht.) jetzt einfach mal Probiert, nur ssh auf den Server freizugeben. Policy auf drop, dann von 192.168.1.0/24 src-port 22 accept. Schon muss ich ummschalten, weil die ssh-sitzung nicht mehr läuft. Daß Kommunikation bi-direktional ist, ist aber bekannt, oder? Falls du mir damit sagen willst, das ich OUtput auch aktivieren muss, da habe ich nicht dran gedacht. Ich dachte wenn das zu einer bestehenden Verbindung gehört, sind die anderen Regeln egal. Muss ich morgen gleich mal ausprobieren. - -- MfG usw Werner Mahr GPG-Key-ID 44B53C40 Registered-Linux-User: 303822 (http://counter.li.org) ICQ-Nr. 317910541 -BEGIN PGP SIGNATURE- Version: GnuPG v1.0.6 (GNU/Linux) Comment: For info see http://www.gnupg.org iD8DBQE/6dqnMfnDfES1PEARAiw6AJ0XIHnntSnGieZOPm0XJcvC1twZCQCghePq wWuwlzkXKMK5POUf/aq4ur8= =2aQc -END PGP SIGNATURE- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: IP-Tables macht komische Sachen
am Wed, dem 24.12.2003, um 19:27:47 +0100 mailte Werner Mahr folgendes: Daß Kommunikation bi-direktional ist, ist aber bekannt, oder? Falls du mir damit sagen willst, das ich OUtput auch aktivieren muss, Nein. da habe ich nicht dran gedacht. Ich dachte wenn das zu einer bestehenden Verbindung gehört, sind die anderen Regeln egal. Muss ich morgen gleich mal ausprobieren. Du solltest die 'Tuts' lesen, nicht nur drüber labern ;-) In FORWARD mußt Du für jedes Protokoll, z.B. SSH, sowohl Hin-, als auch Rückweg freischalten. Andreas -- Diese Message wurde erstellt mit freundlicher Unterstützung eines freilau- fenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert frei von Micro$oft'schen Viren. (#97922 http://counter.li.org) GPG 7F4584DA Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082°, E 13.56889° ;-) pgp0.pgp Description: PGP signature
Re: IP-Tables macht komische Sachen
am Wed, dem 24.12.2003, um 19:09:48 +0100 mailte Werner Mahr folgendes: Warum probierst Du es nicht einfach mit iptables direkt? Bis jetzt hab ich fast ausschlieslich verweise auf das Tut von Russel irgenwas gefunden, das ist zwar besser als die anderen Treffer, aber nicht sehr verständlich geschrieben. Immer nur spezifische Fälle, und keine erklärung warum was wie gemacht wird. Immer nur was es bewirkt. Vielleicht reden wir von unterschiedlichen Dingen, aber die Doku auf http://nefilter.org von Rusty Russell sind eigentlich wirklich gut. Das in Verbindung mit Grundlagen von zum Bleistift 'Netzmafia' und anderen Seiten (z.B. auch dem '19c3-hijackersguide.pdf'), ist iptables eigentlich keine so dolle komplexe Sache. Lies es Dir doch mal in Ruhe durch, und vollziehe die dort genannten Beispiele. Es lohnt sich. Andreas -- Diese Message wurde erstellt mit freundlicher Unterstützung eines freilau- fenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert frei von Micro$oft'schen Viren. (#97922 http://counter.li.org) GPG 7F4584DA Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082°, E 13.56889° ;-) pgp0.pgp Description: PGP signature
Re: IP-Tables macht komische Sachen
Hallo Werner, Werner Mahr, 24.12.2003 (d.m.y): Am Mittwoch, 24. Dezember 2003 16:13 schrieb Christian Schmidt: Warum probierst Du es nicht einfach mit iptables direkt? Bis jetzt hab ich fast ausschlieslich verweise auf das Tut von Russel irgenwas gefunden, das ist zwar besser als die anderen Treffer, aber nicht sehr verständlich geschrieben. Immer nur spezifische Fälle, und keine erklärung warum was wie gemacht wird. Immer nur was es bewirkt. Das Thema ist auch alles andere als trivial, und ich waere ein Luegner, wenn ich behaupten wuerde, mich da gut auszukennen... Und wie sieht das gesamte Regelwerk aus? iptables -nL zeigt es Dir. SE-Home:/home/werner# iptables -nL Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- 0.0.0.0/00.0.0.0/0 Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- 0.0.0.0/00.0.0.0/0 SE-Home:/home/werner# Sieht für mich nicht komplett aus. Zum Beispiel fehlen die Devices. Die Regel in IN/OUTPUT sind eigentlich nur für lo. Die kannst Du Dir in dem Setuo aber genausogut sparen: Deine Default Policy steht jeweils auf ACCEPT, und zusaetzlich erlaubst Du dem System, ueber lo mit sich selbst zu kommunizieren - was es aber gemaess der Default Policy ohnehin schon darf... Gruss, Christian -- Das erste Telefon stand in Noethen: Und bist Du in Nöten, so rufe mich an. pgp0.pgp Description: PGP signature
Re: IP-Tables macht komische Sachen
Hallo Werner, Werner Mahr, 24.12.2003 (d.m.y): Wie schon gesagt, die Tuts. Wer tut es? Oder meinst Du Tutorials? Dann schreib das doch bitte auch. [..] Falls du mir damit sagen willst, das ich OUtput auch aktivieren muss, da habe ich nicht dran gedacht. Ich dachte wenn das zu einer bestehenden Verbindung gehört, sind die anderen Regeln egal. Muss ich morgen gleich mal ausprobieren. Nun, netfilter kann schon erkennen, ob IP-Pakete zu einer bestehenden Verbindung gehoeren - allerdings ist das fuer den Anfang wohl dann doch ein wenig zuviel des Guten... Bei Interesse kannst Du Dich mal in man iptables nach dem Wortstamm state umschauen. Gruss, Christian -- Verstehen sie etwas vom Theater? Ja, wenn laut genug gesprochen wird. pgp0.pgp Description: PGP signature