ipconntrack_ftp vsftpd SSL iptables
Hi Liste, Ich versuche meinen vsftpd mit SSL zu betreiben. Die wichtigen Optionen wären: pasv_promiscuous=YES port_promiscuous=YES listen_port=21 pasv_min_port=62000 pasv_max_port=62000 ssl_enable=YES allow_anon_ssl=NO force_local_data_ssl=NO force_local_logins_ssl=NO ssl_tlsv1=YES ssl_sslv2=YES ssl_sslv3=YES rsa_cert_file=/etc/ssl/certs/vsftp.pem Ich verwende ip_conntrack sowie ip_conntrack_ftp fest im Kernel. Meine iptables Regeln sehen folgendermaßen aus: # Wir setzen die Default Policy der Ketten iptables -P INPUT ACCEPT iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -F INPUT iptables -F OUTPUT iptables -F FORWARD iptables -F ACCOUNTING iptables -F LDROP iptables -N ACCOUNTING iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -i eth0 -j ACCOUNTING iptables -N LDROP iptables -A LDROP -j DROP iptables -A ACCOUNTING -p tcp -m multiport --ports 113 -j ACCEPT iptables -A ACCOUNTING -p tcp -m multiport --ports 25,995 -j ACCEPT iptables -A ACCOUNTING -p tcp -m multiport --ports 6668 -j ACCEPT iptables -A ACCOUNTING -p tcp -m multiport --ports 62000,21 -j ACCEPT iptables -A ACCOUNTING -p udp -m multiport --ports 53 -j ACCEPT iptables -A ACCOUNTING -j ACCEPT -p icmp -m limit --limit 10/min -m icmp --icmp-type 8 iptables -A ACCOUNTING -j LDROP Normale ftp Verbindungen ohne ssl klappen. ssl verbindungen starten, bei voller geschwindigkeit, werden immer langsamer und beenden sich mit: 150 Opening BINARY mode data connection for test.bin (3891200 bytes). Session Cipher: 168 bit 3DES TLS encrypted session established. Transfer Timeout (40s). Closing data connection. 489722 bytes transferred. (8,74 KB/s) (00:00:54) 426 Failure writing network stream. MDTM test.bin 213 20061116035943 Transfer failed. NOOP Für jeden Hinweis wär ich dankbar. -- Mit besten Grüßen Stefan Bauer www.plzk.de - www.splatterworld.de [EMAIL PROTECTED] . [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables -vnL - Paketübersicht Accountin g SOLVED!
Stefan Bauer schrieb: > iptables -A ACCOUNTING -j LDROP ich pflaume, wenn ich schon irgendwo was an LDROP verweise, sollte ich LDROP auch anweisen das ankommende zu verwerfen. Gefehlt hat: iptables -A LDROP -j DROP Mit besten Grüßen -- Stefan Bauer www.plzk.de - www.splatterworld.de [EMAIL PROTECTED] . [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
iptables -vnL - Paketübersicht Accounting
Hallo Liste, ich verwende iptables und würde gerne wenn ich iptables -vnL aufrufe, auch die Pakete meinen Verbindungen(ports) zugeordnet bekommen. Hierzu verwende ich folgendes Script: # Wir setzen die Default Policy der Ketten iptables -P INPUT ACCEPT iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT # Wir leeren die einzelnen Ketten/chains iptables -F INPUT iptables -F OUTPUT iptables -F FORWARD iptables -F ACCOUNTING iptables -F LACCEPT iptables -F LDROP # Wir legen eine Kette an, wo der Traffic gemessen wird iptables -N ACCOUNTING iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -i eth0 -j ACCOUNTING # Wir legen eine Kette an, welche Verbindungen akzeptiert iptables -N LACCEPT iptables -A LACCEPT -j ACCEPT # Wir legen eine Kette an, welche Verbindungen verwirft iptables -N LDROP iptables -A ACCOUNTING -p tcp -m multiport --ports 113 iptables -A ACCOUNTING -p tcp -m multiport --ports iptables -A ACCOUNTING -p tcp -m multiport --ports 995 iptables -A ACCOUNTING -p tcp -m multiport --ports 80 iptables -A ACCOUNTING -p tcp -m multiport --ports 21 iptables -A ACCOUNTING -p tcp -m multiport --ports 25 iptables -A ACCOUNTING -p tcp -m multiport --ports 62000 iptables -A ACCOUNTING -p tcp -m multiport --ports 5 iptables -A ACCOUNTING -p tcp -m multiport --ports 26787 iptables -A ACCOUNTING -p tcp -m multiport --ports 51234 iptables -A ACCOUNTING -p tcp -m multiport --ports 22045 iptables -A ACCOUNTING -p tcp -m multiport --ports 8767 iptables -A ACCOUNTING -p tcp -m multiport --ports 14534 iptables -A ACCOUNTING -p tcp -m multiport --ports 53 iptables -A ACCOUNTING -p udp -m multiport --ports 53 iptables -A ACCOUNTING -j LDROP Jetzt verstehe ich nicht, wieso wenn ich mit netcat 'nen Port auf 12345 öffne, dieser ohne Probleme ereichbar ist. Der Weg ist doch eigentlich durch INPUT mit -j zu ACCOUNTING und wenn er dort nicht auftaucht am ende zu -j LDROP und von dort ins Nirvana? wo hängt es? Mit besten Grüßen -- Stefan Bauer www.plzk.de - www.splatterworld.de [EMAIL PROTECTED] . [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables Regel will nicht funktionieren
Am Dienstag 07 November 2006 10:42 schrieb Evgeni Golov: > On Tue, 7 Nov 2006 10:13:57 +0100 Sandro Frenzel wrote: > > /sbin/iptables -D PREROUTING -t nat -i eth1 -p tcp --dport 5632 > > -j DNAT --to 172.20.xx.xxx:5632 > > So, jetzt hab ich doch ma in meine Forwards geguckt, da hab ich -A > PREROUTING und nicht -D > Weil -A heißt add, und -D delete... ;-) Sryhab den stop Teil aus dem Script geschrieben. Sollte eigentlich statt -D -I heißen. Tschau Sandro
Re: iptables Regel will nicht funktionieren
On Tue, 7 Nov 2006 10:13:57 +0100 Sandro Frenzel wrote: > /sbin/iptables -D PREROUTING -t nat -i eth1 -p tcp --dport 5632 -j > DNAT --to 172.20.xx.xxx:5632 So, jetzt hab ich doch ma in meine Forwards geguckt, da hab ich -A PREROUTING und nicht -D Weil -A heißt add, und -D delete... ;-)
Re: iptables Regel will nicht funktionieren
Hi, Sandro Frenzel wrote: > Hey Liste! > > Sorry erstma, dass ich hierfür die Liste missbrauche. Aber es muss > schnell gehen. Ich hoffe ihr verzeiht mir dies ;)! > > Folgendes will nicht funktionieren: > > > /sbin/iptables -D FORWARD -i eth1 -j ACCEPT > /sbin/iptables -D PREROUTING -t nat -i eth1 -p tcp --dport 5632 -j > DNAT --to 172.20.xx.xxx:5632 Ich würd mal sagen, die Reihenfolge stimmt nicht. ---snip--- /sbin/iptables -t nat -A PREROUTING -p tcp -i eth1 -d xxx.xxx.xxx.xxx --dport 5632 -j DNAT --to 172.20.xx.xxx:5632 /sbin/iptables -A FORWARD -p tcp -i eth1 -d 122.20.xx.xxx --dport 5632 -j ACCEPT ---snap--- Die xxx.xxx.xxx.xxx ist die IP Adresse Deines Gateways. Steht irgendwie so auch in der Docu zu iptables ;-) hth Reinhold -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables Regel will nicht funktionieren
Am Dienstag 07 November 2006 10:23 schrieb Evgeni Golov: > On Tue, 7 Nov 2006 10:13:57 +0100 Sandro Frenzel wrote: > > Ein telnet auf die IP von eth1 und den Port 5632 versagt :(! > > Ich hab grad nicht die iptables Syntax verrifiziert, aber: > Wenn die Regel auf deinem Router ist, und du hinter diesem sitzt, > funktioniert sowas nicht. Du musst Port-Forwarding von "echt"-außen > testen. Heißt wenn deine Pakete über eth2 reinkommen, aber als > Empfänger die IP von eth1 haben, landen sie nicht bei iptables > (sondern direkt beim Kernel? kA). > Nein, ich mach das telnet von nem anderen Server aus...! Also wirklich von außen. > Gruß > Evgeni, sich in der Uni über Java langweilend... Tschau Sandro
Re: iptables Regel will nicht funktionieren
On Tue, 7 Nov 2006 10:13:57 +0100 Sandro Frenzel wrote: > Ein telnet auf die IP von eth1 und den Port 5632 versagt :(! Ich hab grad nicht die iptables Syntax verrifiziert, aber: Wenn die Regel auf deinem Router ist, und du hinter diesem sitzt, funktioniert sowas nicht. Du musst Port-Forwarding von "echt"-außen testen. Heißt wenn deine Pakete über eth2 reinkommen, aber als Empfänger die IP von eth1 haben, landen sie nicht bei iptables (sondern direkt beim Kernel? kA). Gruß Evgeni, sich in der Uni über Java langweilend...
iptables Regel will nicht funktionieren
Hey Liste! Sorry erstma, dass ich hierfür die Liste missbrauche. Aber es muss schnell gehen. Ich hoffe ihr verzeiht mir dies ;)! Folgendes will nicht funktionieren: /sbin/iptables -D FORWARD -i eth1 -j ACCEPT /sbin/iptables -D PREROUTING -t nat -i eth1 -p tcp --dport 5632 -j DNAT --to 172.20.xx.xxx:5632 (für die xx stehen natürlich Zahlen) Ein telnet auf die IP von eth1 und den Port 5632 versagt :(! Ich hoffe hier opfert jemand seine Zeit und kann mir helfen :)! Danke und Tschau Sandro
Re: Verständnisfrage iptables, DNAT, ip_forward
Stefan Bauer <[EMAIL PROTECTED]> wrote: > Nun können die Clients von .0.5 - .90 den Debian Rechner als Gateway > benutzen oder ist as erst mit der Zeile möglich? > iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE Das kommt drauf an, ob der DSL-Router etwas mit dem 192.168.1.0 Netz anfangen kann (sprich dafür eine Route zu 192.168.1.1 hat). Wenn nicht, musst du schon auf dem Debian Router ein Postrouting setzten. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Verständnisfrage iptables, DNAT, ip_ forward
Hallo Liste, eigentlich betrachte ich mich nicht als iptables Neuling, aber folgendes Problem beschäftigt mich trotzdem: Es soll für Wartungszwecke ein Port-Forward eingerichtet werden: [DSL-Router (bintec)] 192.168.1.254 - ext. host.domain.de | | | [Debian 2.6.18 Proxy Server eth0 (192.168.0.1) eth1 (.1.1] | | | [Windows Netzwerk - 192.168.0.5 - .90] | |--- [Client mit VNC Port 192.168.0.10:5900] Von Aussen soll man über host.domain.de auf den internen Client (.0.10) mit VNC gelangen. Klappt auch mit folgender Zeile: iptables -t nat -I PREROUTING -i eth1 -p tcp --dport 4711 -j DNAT --to 192.168.0.10:5900 hierzu ist natürlich auch ip_forward "1" nötig. Nun können die Clients von .0.5 - .90 den Debian Rechner als Gateway benutzen oder ist as erst mit der Zeile möglich? iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE Ich möchte einfach vermeiden ,dass die Clients sich Ihren Weg nicht über den Proxy suchen sondern es mit rohem Forward versuchen. Danke im Voraus -- * Stefan Bauer * * Bavaria / Germany / Chiemsee * * [EMAIL PROTECTED] . [EMAIL PROTECTED] * * * * Confucius Say... * * Don't eat the snow where the huskies go! * * * -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables ip_conntrack_ftp kernel module
Hallo Jens, alles klar & Danke Gruß Holm -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables ip_conntrack_ftp kernel module
* Holm Kapschitzki <[EMAIL PROTECTED]> wrote: > Hallo Jens, > > Jens Schüßler schrieb: > > >* Holm Kapschitzki <[EMAIL PROTECTED]> wrote: > > > >>Hallo, > >> > >>ja danke, also laut Ausgabe von lsmod ist es nicht eingebunden, aber es > >>ist ja auf dem System vorhanden. > >> > >>modprobe -n /usr/include/linux/netfilter_ipv4/ip_conntrack_ftp.h > >> > >>ergibt: FATAL: Module > >>/usr/include/linux/netfilter_ipv4/ip_conntrack_ftp.h not found > >> > > > >1. ist das nicht das Modul, sondern > >/lib/modules/2.6.8-3-k7/kernel/net/ipv4/netfilter/ip_conntrack_ftp.ko > > > war ein copy&paste Fehler ehrlich Hätte aber auch mit modprobe /lib/modules/2.6.8-3-k7/kernel/net/ipv4/netfilter/ip_conntrack_ftp.ko nicht funktioniert ;-) > > >2. heisst der Befehl einfach 'modprobe -n ip_conntrack_ftp' > > oder auch einfach ohne -n ? Den Schalter habe ich dazu weil du ihn auch hattest. '-n' ist einfach nur '--dry-run', also ein Testlauf ob das Modul geladen werden kann. Gruß Jens
Re: iptables ip_conntrack_ftp kernel module
* Holm Kapschitzki <[EMAIL PROTECTED]> wrote: > > dann habe ich mit: > > modprobe ip_conntrack_ftp > > das Modul geladen und folgende Ausgabe bekommen: > > srv4:~# lsmod > Module Size Used by > ip_conntrack_ftp 72368 0 > ipt_limit 2560 3 > ipt_state 2112 71 > ipt_LOG 6656 3 > iptable_nat25252 0 > ip_conntrack 35208 3 ip_conntrack_ftp,ipt_state,iptable_nat > > > Zu sehen ist einmal ein Modul unter ip_conntrack un einmal das Modul als > solches ganz oben. > > Was ist der Unterschied? > Und wie kann ich folgerichtig das Modul rein- oder rausnhmen unter Wie du sehen kannst, steht in über der dritten Spalte 'Used by', d.h, das das Modul ip_conntrack von den dreien dahinter benutzt wird. DAs sind die Abhängigkeiten einzelner Module voneinander. Wenn du jetzt ip_conntrack entladen willst, kommt die Meldung ERROR: Module ip_conntrack is in use by ip_conntrack_ftp,ipt_state,iptable_nat stest also erst die genannten 3 Module entfernen. Das geht mit 'rmmod $MODUL' oder 'modprobe -r $MODUL' Gruß Jens
Re: iptables ip_conntrack_ftp kernel module
Holm Kapschitzki schrieb: > Hallo, > modprobe -n /usr/include/linux/netfilter_ipv4/ip_conntrack_ftp.h > > ergibt: FATAL: Module > /usr/include/linux/netfilter_ipv4/ip_conntrack_ftp.h not found Die Module befinden sich auch nicht unter /usr/include/linux/, da sind nur Header. Module sind installiert unter: /lib/`uname -r`/kernel/ Also sollte "modprobe ip_conntrack_ftp" helfen. > Gruß Holm -- MfG Jan OpenPGP Fingerprint: 0E9B 4052 C661 5018 93C3 4E46 651A 7A28 4028 FF7A pgp38PaWHtGXn.pgp Description: PGP signature
Re: iptables ip_conntrack_ftp kernel module
Hallo Jens, Jens Schüßler schrieb: * Holm Kapschitzki <[EMAIL PROTECTED]> wrote: Hallo, ja danke, also laut Ausgabe von lsmod ist es nicht eingebunden, aber es ist ja auf dem System vorhanden. modprobe -n /usr/include/linux/netfilter_ipv4/ip_conntrack_ftp.h ergibt: FATAL: Module /usr/include/linux/netfilter_ipv4/ip_conntrack_ftp.h not found 1. ist das nicht das Modul, sondern /lib/modules/2.6.8-3-k7/kernel/net/ipv4/netfilter/ip_conntrack_ftp.ko war ein copy&paste Fehler ehrlich 2. heisst der Befehl einfach 'modprobe -n ip_conntrack_ftp' Gruß Jens oder auch einfach ohne -n ? Aber jetzt habe ich ein neues Problem siehe letzte Mail. Danke&Gruß Holm -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables ip_conntrack_ftp kernel module
* Holm Kapschitzki <[EMAIL PROTECTED]> wrote: > Hallo, > > ja danke, also laut Ausgabe von lsmod ist es nicht eingebunden, aber es > ist ja auf dem System vorhanden. > > modprobe -n /usr/include/linux/netfilter_ipv4/ip_conntrack_ftp.h > > ergibt: FATAL: Module > /usr/include/linux/netfilter_ipv4/ip_conntrack_ftp.h not found 1. ist das nicht das Modul, sondern /lib/modules/2.6.8-3-k7/kernel/net/ipv4/netfilter/ip_conntrack_ftp.ko 2. heisst der Befehl einfach 'modprobe -n ip_conntrack_ftp' Gruß Jens
Re: iptables ip_conntrack_ftp kernel module
Hallo, ok manchmal ist doch besser google als man, aber egal. Ich hab jetzt nur noch ein Verständnisproblem. Vorhin habe ich übersehen das ip_conntrack_ftp geladen war siehe hier: srv4:~# lsmod Module Size Used by ipt_limit 2560 3 ipt_state 2112 71 ipt_LOG 6656 3 iptable_nat25252 0 ip_conntrack 35208 3 ip_conntrack_ftp,ipt_state,iptable_nat dann habe ich mit: modprobe ip_conntrack_ftp das Modul geladen und folgende Ausgabe bekommen: srv4:~# lsmod Module Size Used by ip_conntrack_ftp 72368 0 ipt_limit 2560 3 ipt_state 2112 71 ipt_LOG 6656 3 iptable_nat25252 0 ip_conntrack 35208 3 ip_conntrack_ftp,ipt_state,iptable_nat Zu sehen ist einmal ein Modul unter ip_conntrack un einmal das Modul als solches ganz oben. Was ist der Unterschied? Und wie kann ich folgerichtig das Modul rein- oder rausnhmen unter "srv4:~# lsmod Module Size Used by ip_conntrack_ftp 72368 0 ipt_limit 2560 3 ipt_state 2112 71 ipt_LOG 6656 3 iptable_nat25252 0 ip_conntrack 35208 3 ip_conntrack_ftp,ipt_state,iptable_nat " Gruß Holm -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables ip_conntrack_ftp kernel module
Hallo, ja danke, also laut Ausgabe von lsmod ist es nicht eingebunden, aber es ist ja auf dem System vorhanden. modprobe -n /usr/include/linux/netfilter_ipv4/ip_conntrack_ftp.h ergibt: FATAL: Module /usr/include/linux/netfilter_ipv4/ip_conntrack_ftp.h not found Gruß Holm -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables ip_conntrack_ftp kernel module
Holm Kapschitzki schrieb: > Hallo, Abend, > wie war denn nochmal der Befehl um sich die geladenen kernel Module > anzeigen zu lassen? lsmod -- MfG Jan OpenPGP Fingerprint: 0E9B 4052 C661 5018 93C3 4E46 651A 7A28 4028 FF7A pgpB0t9acSuUL.pgp Description: PGP signature
Re: iptables ip_conntrack_ftp kernel module
man lsmod man modprobe modinfo Holm Kapschitzki wrote: > Hallo, > > wie war denn nochmal der Befehl um sich die geladenen kernel Module > anzeigen zu lassen? > > Ich hab mal ein ein > > locate ip_conntrack_ftp > /lib/modules/2.6.8-3-k7/kernel/net/ipv4/netfilter/ip_conntrack_ftp.ko > /usr/include/linux/netfilter_ipv4/ip_conntrack_ftp.h > > gemacht und die Ausgabe bekommen. > > Ist das jetzt geladen? > > Gruß Holm > > -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
iptables ip_conntrack_ftp kernel module
Hallo, wie war denn nochmal der Befehl um sich die geladenen kernel Module anzeigen zu lassen? Ich hab mal ein ein locate ip_conntrack_ftp /lib/modules/2.6.8-3-k7/kernel/net/ipv4/netfilter/ip_conntrack_ftp.ko /usr/include/linux/netfilter_ipv4/ip_conntrack_ftp.h gemacht und die Ausgabe bekommen. Ist das jetzt geladen? Gruß Holm -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [iptables] Falsche From-IP bei NAT nach IP-Wechsel
Am Donnerstag, 31. August 2006 06:23 schrieb Ulf Volmer:
> On Wed, Aug 30, 2006 at 01:44:33PM +0200, Daniel Musketa wrote:
> > > > > Aber immer noch sendet iptables die Pakete aus dem Masquerading von
> > > > > der gestrigen IP.
> >
> > Ich habe festgestellt, daß es in /proc/net/ip_conntrack immer noch
> > Einträge gibt, die die alte externe IP enthalten. Warum wird die Tabelle
> > nicht gelöscht, während ppp0 down ist?
> >
> > Kann ich dort Einträge manipulieren/löschen?
> >
> > Kann ich vielleicht das Modul ip_conntrack neu laden? Wenn ja, wie? Kann
> > dabei was schiefgehen?
>
> rmmod ip_conntrack ; modprobe ip_conntrack
>
> BTW: Du kannst in
> /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout_stream
> den Timeout für UDP- Verbindungen runtersetzen. Evtl. umschifft das dein
> Problem.
Ja, das hatte ich gestern noch als zweiten Workaround gefunden:
#!/bin/sh
TIMEOUT=$(cat /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout)
TIMEOUT_STREAM=$(cat
/proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout_stream)
echo 0 > /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout
echo 0 > /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout_stream
sleep 10
echo ${TIMEOUT} > /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout
echo ${TIMEOUT_STREAM}
> /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout_stream
#EOF
Mein Versuch, die contrack-Tabelle zu manipulieren schlug leider fehl, weil
selbst root nicht da reinschreiben darf:
#!/bin/sh
OLD_IP=84\.179\.69\.240
CONNTRACK=$(cat /proc/net/ip_conntrack)
echo "${CONNTRACK}" | egrep -v "^udp.+${OLD_IP}" \
> /proc/net/ip_conntrack
#EOF
Daniel
Re: [iptables] Falsche From-IP bei NAT nach IP-Wechsel
On Wed, Aug 30, 2006 at 01:44:33PM +0200, Daniel Musketa wrote: > > > > Aber immer noch sendet iptables die Pakete aus dem Masquerading von der > > > > gestrigen IP. > > Ich habe festgestellt, daß es in /proc/net/ip_conntrack immer noch Einträge > gibt, die die alte externe IP enthalten. Warum wird die Tabelle nicht > gelöscht, während ppp0 down ist? > > Kann ich dort Einträge manipulieren/löschen? > > Kann ich vielleicht das Modul ip_conntrack neu laden? Wenn ja, wie? Kann > dabei > was schiefgehen? rmmod ip_conntrack ; modprobe ip_conntrack BTW: Du kannst in /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout_stream den Timeout für UDP- Verbindungen runtersetzen. Evtl. umschifft das dein Problem. BTW2: https://bugzilla.netfilter.org/bugzilla/show_bug.cgi?id=329 cu ulf -- Ulf Volmer [EMAIL PROTECTED] www.u-v.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [iptables] Falsche From-IP bei NAT nach IP-Wechsel
Am Mittwoch, 30. August 2006 11:17 schrieb Daniel Musketa: > Am Mittwoch, 30. August 2006 10:57 schrieb Ulf Volmer: > > On Wed, Aug 30, 2006 at 10:48:01AM +0200, Daniel Musketa wrote: > > > So, jetzt habe ich das Regelwerk komplett in _ein_ Skript gepackt und > > > ein > > > > > > iptables -F -t filter > > > iptables -F -t nat > > > iptables -F -t mangle > > > > > > vorangestellt. > > [...] > > > > Aber immer noch sendet iptables die Pakete aus dem Masquerading von der > > > gestrigen IP. Ich habe festgestellt, daß es in /proc/net/ip_conntrack immer noch Einträge gibt, die die alte externe IP enthalten. Warum wird die Tabelle nicht gelöscht, während ppp0 down ist? Kann ich dort Einträge manipulieren/löschen? Kann ich vielleicht das Modul ip_conntrack neu laden? Wenn ja, wie? Kann dabei was schiefgehen? Daniel
Re: [iptables] Falsche From-IP bei NAT nach IP-Wechsel
Am Mittwoch, 30. August 2006 10:57 schrieb Ulf Volmer:
> On Wed, Aug 30, 2006 at 10:48:01AM +0200, Daniel Musketa wrote:
> > So, jetzt habe ich das Regelwerk komplett in _ein_ Skript gepackt und ein
> >
> > iptables -F -t filter
> > iptables -F -t nat
> > iptables -F -t mangle
> >
> > vorangestellt.
[...]
> > Aber immer noch sendet iptables die Pakete aus dem Masquerading von der
> > gestrigen IP.
>
> Kannst du das Scipt mal irgendwo ablegen oder hier posten?
Klar.
8< ----
#!/bin/sh
# alte Reglen löschen
iptables -v -F -t nat
iptables -v -F -t mangle
iptables -v -F -t filter
# Kontrolle, ob wirklich leer
iptables -vL -t nat
echo ""
# DIE WICHTIGSTE ZEILE:
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
# RTP-Ports für SIP auf den Asterisk forwarden
iptables -t nat -A PREROUTING -i ppp0 -p udp -m udp --dport 1:10500 \
-j DNAT --to-destination 192.168.1.128
# diverse andere Relgeln
iptables -t mangle -A INPUT -p tcp -m tcp --dport 22 -j MARK --set-mark 0x14
# ...
# und weitere Regeln
iptables -t filter -A INPUT -i tun1 -m state --state \
INVALID,NEW,RELATED,UNTRACKED -j REJECT \
--reject-with icmp-port-unreachable
# ...
# Kontrolle, ob Regeln neu geladen:
iptables -vL -t nat
>8
Die Ausgabe sieht so aus:
8<
Flushing chain `PREROUTING'
Flushing chain `POSTROUTING'
Flushing chain `OUTPUT'
Flushing chain `PREROUTING'
Flushing chain `INPUT'
Flushing chain `FORWARD'
Flushing chain `OUTPUT'
Flushing chain `POSTROUTING'
Flushing chain `INPUT'
Flushing chain `FORWARD'
Flushing chain `OUTPUT'
Chain PREROUTING (policy ACCEPT 2407 packets, 154K bytes)
pkts bytes target prot opt in out source
destination
Chain POSTROUTING (policy ACCEPT 256 packets, 18919 bytes)
pkts bytes target prot opt in out source
destination
Chain OUTPUT (policy ACCEPT 1151 packets, 73598 bytes)
pkts bytes target prot opt in out source
destination
Chain PREROUTING (policy ACCEPT 2407 packets, 154K bytes)
pkts bytes target prot opt in out source
destination
0 0 DNAT udp -- ppp0 any anywhere anywhere
udp dpts:1:10500 to:192.168.1.128
Chain POSTROUTING (policy ACCEPT 256 packets, 18919 bytes)
pkts bytes target prot opt in out source
destination
0 0 MASQUERADE all -- anyppp0anywhere anywhere
Chain OUTPUT (policy ACCEPT 1151 packets, 73598 bytes)
pkts bytes target prot opt in out source
destination
>8
Daniel
Re: [iptables] Falsche From-IP bei NAT nach IP-Wechsel
On Wed, Aug 30, 2006 at 10:48:01AM +0200, Daniel Musketa wrote: > So, jetzt habe ich das Regelwerk komplett in _ein_ Skript gepackt und ein > > iptables -F -t filter > iptables -F -t nat > iptables -F -t mangle > > vorangestellt. > > Interessanterweise werden die Zähler dabei nicht zurückgesetzt. Die Regeln > werden aber neu geladen, was mir ein zwischengeschobenes Die Zähler werden separat mit 'iptables -Z' zurückgesetzt. > > iptables -vL > > zeigt. > > Aber immer noch sendet iptables die Pakete aus dem Masquerading von der > gestrigen IP. Kannst du das Scipt mal irgendwo ablegen oder hier posten? cu ulf -- Ulf Volmer [EMAIL PROTECTED] www.u-v.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [iptables] Falsche From-IP bei NAT nach IP-Wechsel
Am Mittwoch, 30. August 2006 09:57 schrieb Ulf Volmer: > On Wed, Aug 30, 2006 at 09:42:07AM +0200, Daniel Musketa wrote: > > iptables-save > /tmp/iptables-rules && \ > > iptables -F && \ > > iptables-restore < /tmp/iptables-rules > > > > ausführe, werden zwar alle Regeln neu geladen und die Zähler > > zurückgesetzt, die rausgehenden UDP-Pakete haben aber immer noch die > > gestrige IP als Absender. > > > > Gibt's noch was stärkeres als `iptables -F`? > > Ich weiß immer noch nicht, wieso du nicht das Script, das die Regeln > erstellst, einfach nochmal startest. > Das stellt dir wieder einen def. Zustand her. So, jetzt habe ich das Regelwerk komplett in _ein_ Skript gepackt und ein iptables -F -t filter iptables -F -t nat iptables -F -t mangle vorangestellt. Interessanterweise werden die Zähler dabei nicht zurückgesetzt. Die Regeln werden aber neu geladen, was mir ein zwischengeschobenes iptables -vL zeigt. Aber immer noch sendet iptables die Pakete aus dem Masquerading von der gestrigen IP. Noch jemand eine Idee? ... ratlos, Daniel
Re: [iptables] Falsche From-IP bei NAT nach IP-Wechsel
Hallo, Ulf, Am Mittwoch, 30. August 2006 09:57 schrieb Ulf Volmer: > On Wed, Aug 30, 2006 at 09:42:07AM +0200, Daniel Musketa wrote: > > iptables-save > /tmp/iptables-rules && \ > > iptables -F && \ > > iptables-restore < /tmp/iptables-rules > > > > ausführe, werden zwar alle Regeln neu geladen und die Zähler > > zurückgesetzt, die rausgehenden UDP-Pakete haben aber immer noch die > > gestrige IP als Absender. > > > > Gibt's noch was stärkeres als `iptables -F`? > > Ich weiß immer noch nicht, wieso du nicht das Script, das die Regeln > erstellst, einfach nochmal startest. > Das stellt dir wieder einen def. Zustand her. Ich dachte, iptables-restore würde genau das tun ... ok, ich versuch's mal als Shell-Skript. Daniel
Re: [iptables] Falsche From-IP bei NAT nach IP-Wechsel
On Wed, Aug 30, 2006 at 09:42:07AM +0200, Daniel Musketa wrote: > iptables-save > /tmp/iptables-rules && \ > iptables -F && \ > iptables-restore < /tmp/iptables-rules > > ausführe, werden zwar alle Regeln neu geladen und die Zähler zurückgesetzt, > die rausgehenden UDP-Pakete haben aber immer noch die gestrige IP als > Absender. > > Gibt's noch was stärkeres als `iptables -F`? Ich weiß immer noch nicht, wieso du nicht das Script, das die Regeln erstellst, einfach nochmal startest. Das stellt dir wieder einen def. Zustand her. cu ulf -- Ulf Volmer [EMAIL PROTECTED] www.u-v.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [iptables] Falsche From-IP bei NAT nach IP-Wechsel
Am Donnerstag, 24. August 2006 14:24 schrieb Ulf Volmer: > On Thu, Aug 24, 2006 at 11:16:23AM +0200, Daniel Musketa wrote: [...] > > Nachdem die externe IP gewechselt hat, sendet iptables seine > > NAT-Pakete weiterhin von der alten IP aus. Letzte Nacht habe ich > > über ein in /etc/ppp/ip-up.d liegendes Skript die NAT-Regel neu > > geladen: > > > > ... -D POSTROUTING ... -j MASQUERADE > > ... -A POSTROUTING ... -j MASQUERADE > > Die alten Einträgen in den Tabellen bekommst du so nicht weg. > > Du wirst um ein iptables -F nicht herumkommen, imho. Am Donnerstag, 24. August 2006 14:39 schrieb Andre Timmermann: > wenn ein iptables -F > wegen dem Verlust der Konfiguration Bauchweh macht, könnte man mit > > iptables-save > rules > > die Konfig sichern, die stöhrenden Zeilen mit einem texteditor entfernen > und dann die Konfig flushen. Danach mit > > iptables-restore < rules > > wieder einlesen. Super Idee. Danke. Irgendwas fehlt aber noch. Wenn ich nämlich ein iptables-save > /tmp/iptables-rules && \ iptables -F && \ iptables-restore < /tmp/iptables-rules ausführe, werden zwar alle Regeln neu geladen und die Zähler zurückgesetzt, die rausgehenden UDP-Pakete haben aber immer noch die gestrige IP als Absender. Gibt's noch was stärkeres als `iptables -F`? Daniel
Re: [iptables] Falsche From-IP bei NAT nach IP-Wechsel
Am Donnerstag, den 24.08.2006, 14:24 +0200 schrieb Ulf Volmer: > Die alten Einträgen in den Tabellen bekommst du so nicht weg. > > Du wirst um ein iptables -F nicht herumkommen, imho. Ich hab zwar den Thread nicht ganz gelesen, aber wenn ein iptables -F wegen dem Verlust der Konfiguration Bauchweh macht, könnte man mit iptables-save > rules die Konfig sichern, die stöhrenden Zeilen mit einem texteditor entfernen und dann die Konfig flushen. Danach mit iptables-restore < rules wieder einlesen. Greetz, Andre
Re: [iptables] Falsche From-IP bei NAT nach IP-Wechsel
On Thu, Aug 24, 2006 at 11:16:23AM +0200, Daniel Musketa wrote: > Am Dienstag, 22. August 2006 21:41 schrieb Ulf Volmer: > > > > > ja auch ohne iptables-Rules neuzuladen. > > > > > > > > Das ändert ja auch nicht die externe IP. > > > > > > Das habe ich nicht verstanden. Wie meinst Du das? > > > > Ich meine nächtlichen IP-Wechsel auf ppp0. > > Genau. Leider verstehe ich immer noch nicht, was Du mir damit sagen willst. > > Nachdem die externe IP gewechselt hat, sendet iptables seine NAT-Pakete > weiterhin von der alten IP aus. Letzte Nacht habe ich über ein > in /etc/ppp/ip-up.d liegendes Skript die NAT-Regel neu geladen: > > ... -D POSTROUTING ... -j MASQUERADE > ... -A POSTROUTING ... -j MASQUERADE Die alten Einträgen in den Tabellen bekommst du so nicht weg. Du wirst um ein iptables -F nicht herumkommen, imho. cu ulf -- Ulf Volmer [EMAIL PROTECTED] www.u-v.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [iptables] Falsche From-IP bei NAT nach IP-Wechsel
Am Dienstag, 22. August 2006 21:41 schrieb Ulf Volmer: > On Tue, Aug 22, 2006 at 02:33:52PM +0200, Daniel Musketa wrote: > > Am Dienstag, 22. August 2006 14:21 schrieb Ulf Volmer: > > > On Tue, Aug 22, 2006 at 02:07:31PM +0200, Daniel Musketa wrote: > > > > Am Dienstag, 22. August 2006 13:19 schrieb Ulf Volmer: > > > > > > Das klappt auch ... bis zum nächtlichen IP-Wechsel auf ppp0. > > > > > > > > > > > > Danach nämlich sendet iptables alle UDP-Pakete von der > > > > > > Asterisk-Maschine von der alten IP aus! Wie kann denn sowas sein? > > > > > > > > > > Du lädst aber schon die iptables- Befehle via /etc/ppp/ip-up.d neu? > > > > > > > > Nein, eigentlich nicht. Das mache ich aber auch nicht, wenn ich den > > > > Asterisk auf der LAN-Maschine mal zwei Minuten stoppe. Danach geht's > > > > ja auch ohne iptables-Rules neuzuladen. > > > > > > Das ändert ja auch nicht die externe IP. > > > > Das habe ich nicht verstanden. Wie meinst Du das? > > Ich meine nächtlichen IP-Wechsel auf ppp0. Genau. Leider verstehe ich immer noch nicht, was Du mir damit sagen willst. Nachdem die externe IP gewechselt hat, sendet iptables seine NAT-Pakete weiterhin von der alten IP aus. Letzte Nacht habe ich über ein in /etc/ppp/ip-up.d liegendes Skript die NAT-Regel neu geladen: ... -D POSTROUTING ... -j MASQUERADE ... -A POSTROUTING ... -j MASQUERADE Ohne Erfolg. Auch danach setzt iptables weiterhin die gestrige IP-Adresse in die ausgehenden Pakete. Solange bis ich Asterisk auf dem NAT-Client stoppe und nach ca. zweiminütiger Pause wieder starte. Selbst wenn iptables die versandten UDP-Pakete zeitbasiert als RELATED betrachtet, wie kommt denn es denn auf die Idee, eine fremde IP-Adresse als Absender einzusetzen? Wo kann ich sowas zurücksetzen? Daniel
Re: [iptables] Falsche From-IP bei NAT nach IP-Wechsel
On Tue, Aug 22, 2006 at 02:33:52PM +0200, Daniel Musketa wrote: > Am Dienstag, 22. August 2006 14:21 schrieb Ulf Volmer: > > On Tue, Aug 22, 2006 at 02:07:31PM +0200, Daniel Musketa wrote: > > > Am Dienstag, 22. August 2006 13:19 schrieb Ulf Volmer: > > > > > Das klappt auch ... bis zum nächtlichen IP-Wechsel auf ppp0. > > > > > > > > > > Danach nämlich sendet iptables alle UDP-Pakete von der > > > > > Asterisk-Maschine von der alten IP aus! Wie kann denn sowas sein? > > > > > > > > Du lädst aber schon die iptables- Befehle via /etc/ppp/ip-up.d neu? > > > > > > Nein, eigentlich nicht. Das mache ich aber auch nicht, wenn ich den > > > Asterisk auf der LAN-Maschine mal zwei Minuten stoppe. Danach geht's ja > > > auch ohne iptables-Rules neuzuladen. > > > > Das ändert ja auch nicht die externe IP. > > Das habe ich nicht verstanden. Wie meinst Du das? Ich meine nächtlichen IP-Wechsel auf ppp0. > > Daniel -- Ulf Volmer [EMAIL PROTECTED] +49-2271-837590 www.u-v.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [iptables] Falsche From-IP bei NAT nach IP-Wechsel
On Tue, Aug 22, 2006 at 11:30:43AM +0200, Daniel Musketa wrote: > Danach nämlich sendet iptables alle UDP-Pakete von der > Asterisk-Maschine von der alten IP aus! Wie kann denn sowas sein? AFAIK ist UDP zustandslos und Netfiler benutzt dafür Zeitfenster um die Pakete einer Verbindung zuzuordnen. Kann also durch aus sein das die "alte" quell IP-Adresse der Verbindung benutzt wird, statt die für jedes Paket neu zu ermitteln. -- Nicht Absicht unterstellen, wenn auch Dummheit ausreicht! pgpEPllIK10YH.pgp Description: PGP signature
Re: [iptables] Falsche From-IP bei NAT nach IP-Wechsel
Am Dienstag, 22. August 2006 14:21 schrieb Ulf Volmer: > On Tue, Aug 22, 2006 at 02:07:31PM +0200, Daniel Musketa wrote: > > Am Dienstag, 22. August 2006 13:19 schrieb Ulf Volmer: > > > > Das klappt auch ... bis zum nächtlichen IP-Wechsel auf ppp0. > > > > > > > > Danach nämlich sendet iptables alle UDP-Pakete von der > > > > Asterisk-Maschine von der alten IP aus! Wie kann denn sowas sein? > > > > > > Du lädst aber schon die iptables- Befehle via /etc/ppp/ip-up.d neu? > > > > Nein, eigentlich nicht. Das mache ich aber auch nicht, wenn ich den > > Asterisk auf der LAN-Maschine mal zwei Minuten stoppe. Danach geht's ja > > auch ohne iptables-Rules neuzuladen. > > Das ändert ja auch nicht die externe IP. Das habe ich nicht verstanden. Wie meinst Du das? Daniel
Re: [iptables] Falsche From-IP bei NAT nach IP-Wechsel
On Tue, Aug 22, 2006 at 02:07:31PM +0200, Daniel Musketa wrote: > Am Dienstag, 22. August 2006 13:19 schrieb Ulf Volmer: > > > > > > Das klappt auch ... bis zum nächtlichen IP-Wechsel auf ppp0. > > > > > > Danach nämlich sendet iptables alle UDP-Pakete von der Asterisk-Maschine > > > von der alten IP aus! Wie kann denn sowas sein? > > > > Du lädst aber schon die iptables- Befehle via /etc/ppp/ip-up.d neu? > > Nein, eigentlich nicht. Das mache ich aber auch nicht, wenn ich den Asterisk > auf der LAN-Maschine mal zwei Minuten stoppe. Danach geht's ja auch ohne > iptables-Rules neuzuladen. Das ändert ja auch nicht die externe IP. > Ich dachte immer, das sei -- im Gegensatz zu beispielsweise tc-qdiscs -- > nicht > nötig, weil man ja Regeln auch für (noch) nicht existierende Devices anlegen > kann, also die Regel, die "-o ppp0" betrifft, auch beim nächsten ppp0 wieder > gilt. Ich weiß ehrlich nicht, wie der Kernel da intern handhabt, hier wird bei Neueinwahl auch das Regelwerk neu geladen. > Wie lade ich denn, falls tatsächlich nötig, das iptables-Modul neu (ohne > alles > zu löschen und neu einzurichten)? Wenn du ein passendes init- Script hast, reicht ein ln -s /etc/init.d/iptables /etc/ppp/ip-up.d/ cu ulf -- Ulf Volmer [EMAIL PROTECTED] www.u-v.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [iptables] Falsche From-IP bei NAT nach IP-Wechsel
Hallo, Ulf, Am Dienstag, 22. August 2006 13:19 schrieb Ulf Volmer: > On Tue, Aug 22, 2006 at 11:30:43AM +0200, Daniel Musketa wrote: > > Hallo, Liste, > > > > ein für mich sehr seltsames Problem mit iptables v1.2.11 unter Debian > > Sarge: Ich habe eine Rule, die sicher jeder kennt: "-t nat -I POSTROUTING > > -o ppp0 -j MASQUERADE". Jetzt habe ich "hinter" diesem Debain-Router > > einen Asterisk, der auf dem SIP-Port 5060 UDP-Pakete versendet (und auf > > Antwort wartet). > > > > Das klappt auch ... bis zum nächtlichen IP-Wechsel auf ppp0. > > > > Danach nämlich sendet iptables alle UDP-Pakete von der Asterisk-Maschine > > von der alten IP aus! Wie kann denn sowas sein? > > Du lädst aber schon die iptables- Befehle via /etc/ppp/ip-up.d neu? Nein, eigentlich nicht. Das mache ich aber auch nicht, wenn ich den Asterisk auf der LAN-Maschine mal zwei Minuten stoppe. Danach geht's ja auch ohne iptables-Rules neuzuladen. Ich dachte immer, das sei -- im Gegensatz zu beispielsweise tc-qdiscs -- nicht nötig, weil man ja Regeln auch für (noch) nicht existierende Devices anlegen kann, also die Regel, die "-o ppp0" betrifft, auch beim nächsten ppp0 wieder gilt. Wie lade ich denn, falls tatsächlich nötig, das iptables-Modul neu (ohne alles zu löschen und neu einzurichten)? Daniel
Re: [iptables] Falsche From-IP bei NAT nach IP-Wechsel
On Tue, Aug 22, 2006 at 11:30:43AM +0200, Daniel Musketa wrote: > Hallo, Liste, > > ein für mich sehr seltsames Problem mit iptables v1.2.11 unter Debian Sarge: > Ich habe eine Rule, die sicher jeder kennt: "-t nat -I POSTROUTING -o ppp0 -j > MASQUERADE". Jetzt habe ich "hinter" diesem Debain-Router einen Asterisk, der > auf dem SIP-Port 5060 UDP-Pakete versendet (und auf Antwort wartet). > > Das klappt auch ... bis zum nächtlichen IP-Wechsel auf ppp0. > > Danach nämlich sendet iptables alle UDP-Pakete von der Asterisk-Maschine von > der alten IP aus! Wie kann denn sowas sein? Du lädst aber schon die iptables- Befehle via /etc/ppp/ip-up.d neu? cu ulf -- Ulf Volmer [EMAIL PROTECTED] www.u-v.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
[iptables] Falsche From-IP bei NAT nach IP-Wechsel
Hallo, Liste, ein für mich sehr seltsames Problem mit iptables v1.2.11 unter Debian Sarge: Ich habe eine Rule, die sicher jeder kennt: "-t nat -I POSTROUTING -o ppp0 -j MASQUERADE". Jetzt habe ich "hinter" diesem Debain-Router einen Asterisk, der auf dem SIP-Port 5060 UDP-Pakete versendet (und auf Antwort wartet). Das klappt auch ... bis zum nächtlichen IP-Wechsel auf ppp0. Danach nämlich sendet iptables alle UDP-Pakete von der Asterisk-Maschine von der alten IP aus! Wie kann denn sowas sein? Es hilft hier ein ca. 2minütiges Pausieren von Asterisk, danach wird die korrekte Absender-IP in die Pakete eingesetzt. Nochmal: WTF!?! Wie kann denn sowas sein? Grüße Daniel
Re: iptables standortbezogen - oder besser nicht?
Hallo Rüdiger, Rüdiger Noack, 19.08.2006 (d.m.y): > Christian Schmidt schrieb: > > > > Diesen Schutz kann man auch erreichen, indem man auf dem eigenen > > Rechner keine via Netzwerk zugaenglichen Dienste betreibt. > > > Man kann schon, aber so paranoid, dass ich mich selbst komplett > aussperren will (Zugriff auf Notebook vom Desktop aus) bin ich nun auch > nicht. ;-) Naja, aber SSH bekommt man ja auch ohne iptables IMO hinreichend "dicht"... > > Wenn man moechte, kann man mit iptables ja noch einen doppelten Boden > > schaffen. > > > Eben. Die tollen Protokollmöglichkeiten auch nicht zu vergessen. Wenn man nicht aufpasst, kann das aber in Eigen-DOS ausarten. ;-) Gruss, Christian Schmidt -- Wer nichts Böses tut, hat damit noch nichts Gutes getan. -- Karl Heinrich Waggerl signature.asc Description: Digital signature
Re: iptables standortbezogen - oder besser nicht?
Christian Schmidt schrieb: > > Diesen Schutz kann man auch erreichen, indem man auf dem eigenen > Rechner keine via Netzwerk zugaenglichen Dienste betreibt. > Man kann schon, aber so paranoid, dass ich mich selbst komplett aussperren will (Zugriff auf Notebook vom Desktop aus) bin ich nun auch nicht. ;-) > Wenn man moechte, kann man mit iptables ja noch einen doppelten Boden > schaffen. > Eben. Die tollen Protokollmöglichkeiten auch nicht zu vergessen. Gruß Rüdiger -- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables standortbezogen - oder besser nicht?
Hallo Rüdiger, Rüdiger Noack, 18.08.2006 (d.m.y): > Ich rede von Schutz vor > potentiellen Angreifern, mit denen ich mich bereits in einem Netz > befinde, weil ich mich z.B. per LAN jobbedingt in dieses Netz geklingt habe. Diesen Schutz kann man auch erreichen, indem man auf dem eigenen Rechner keine via Netzwerk zugaenglichen Dienste betreibt. Wenn man moechte, kann man mit iptables ja noch einen doppelten Boden schaffen. Gruss, Christian Schmidt -- Ein guter Propagandist kann sogar mithilfe der Wahrheit überzeugen. -- Wieslaw Brudzinzki signature.asc Description: Digital signature
Re: iptables standortbezogen - oder besser nicht?
Rüdiger Noack schrieb: Max Muxe schrieb: Also: Ich bin mal mit meinem "Zaurus + Kismet + Wellenreiter" in meiner Strasse auf und ab gegangen und habe alle Netze und die Mac-Adressen mit geschrieben. Das einzige was mich jetzt bei Dir aufhalten könnte wäre WAP. Gut das Du das umgestellt hast! Dies hat mit meinem Anliegen nichts zu tun. Ich rede von Schutz vor potentiellen Angreifern, mit denen ich mich bereits in einem Netz befinde, weil ich mich z.B. per LAN jobbedingt in dieses Netz geklingt habe. Sorry, Rüdiger, ich nahm an: Du bist in beiden Fällen im WLAN unterwegs. Grusz -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables standortbezogen - oder besser nicht?
Richard Mittendorfer schrieb: > > Kann natuerlich nicht schaden. Eine automatische Moeglichkeit waer' ein > kleines Skript, von z.B. if-up aufgerufen, das je nach Umgebung die > rules setzt. Kein grosser Aufwand und vermutlich gibt's dafuer auch > schon ein Paket - whereami vielleicht. > Wie schon erwähnt, das war ursprünglich mein Ansatz. Nur benötige einen Wächter, der mich benachrichtigt, wenn ich mich in ein WPA-Netz eingeklingt habe (genauer gesagt, wenn ich mein WLAN-Adapter in solch einem Netz aktiviert habe). Nix Wächter - nix Automatismus. :-( -- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables standortbezogen - oder besser nicht?
Max Muxe schrieb: > > Also: Ich bin mal mit meinem "Zaurus + Kismet + Wellenreiter" in meiner > Strasse auf und ab gegangen und habe alle Netze und die Mac-Adressen mit > geschrieben. > Das einzige was mich jetzt bei Dir aufhalten könnte wäre WAP. Gut das Du > das umgestellt hast! > Dies hat mit meinem Anliegen nichts zu tun. Ich rede von Schutz vor potentiellen Angreifern, mit denen ich mich bereits in einem Netz befinde, weil ich mich z.B. per LAN jobbedingt in dieses Netz geklingt habe. Rüdiger -- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables standortbezogen - oder besser nicht?
Richard Mittendorfer schrieb: > Einen Rechner mit sensiblen Daten werd' > ich klarerweise in kein fremdes Netz haengen oder ihm ein WLAN Interface > spendieren. > Auf einem beruflich genutzten bzw. Firmendaten befinden sich nun einmal sensible Daten, sonst könnte man es gleich zuhause lassen. Und genau dieses Notebook brauche ich auch in Kundennutzen, sonst kann ich dort nicht arbeiten. Mit WLAN hat das nichts zu tun, es hängt normalerweise per LAN in diesen Netzen. Rüdiger -- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables standortbezogen - oder besser nicht?
Dirk Ullrich schrieb: > Trotzdem mache ich bei meinen mobilen Geräten > Zugriffsberechtigungen von anderen Rechnern aus _nie_ von > irgendwelchen statischen Parametern abhängig. Eine geeignete > Authentifizierung lässt sich in einem solchen Fall immer sicherer machen. > Ich nehme gern konkrete Anregungen entgegen. ;-) Wie ich im Ursprungsbeitrag erwähnte, hatte ich standortabhängige iptables-Regeln gebaut. Leider funktioniert die automatische Erkennung von WPA-Netzen nicht, ich muss also manuell die passenden Regeln (bzw. das Script mit dem Regelsatz) starten. Dazu bin ich auf Dauer einfach zu bequem. Wenn mir jemand sagen könnte, wie er das automatisiert, wäre ich sehr dankbar. Andererseits nutze ich nicht selten öffentliche Hotspots der großen Provider, wie sie z.B (natürlich kostenpflichtig) in Hotels angeboten werden. Das sind meist offene Netze. Um diese Netze zu nutzen, kann man sich nicht komplett abschotten, sonst sind diese Netze nicht nutzbar. Ich hatte mir vor Jahren (zu woody-Zeiten) mal verschiedene runlevel für verschiedene Vertrauensstufen gebaut, dies später aber wieder aufgegeben. Mir fällt gerade nicht ein, warum eigentlich. Vielleicht sollte ich dieses "Projekt" wieder aufleben lassen. Rüdiger -- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables standortbezogen - oder besser nicht?
Dirk Ullrich schrieb: 2006/8/18, Richard Mittendorfer <[EMAIL PROTECTED]>: D.h. a) der Angreifer u.d. Notebook muessen sich im richtigen Netz befinden und b) der Angreifer muss die MAC des Rechners zuhause(!) beim OP wissen. MMn. halt keine wahrscheinliche Situation. Ich stimme Dir zu dass dies keine wahrscheinliche Situation ist. Trotzdem mache ich bei meinen mobilen Geräten Zugriffsberechtigungen von anderen Rechnern aus _nie_ von irgendwelchen statischen Parametern abhängig. Eine geeignete Authentifizierung lässt sich in einem solchen Fall immer sicherer machen. Dirk Also: Ich bin mal mit meinem "Zaurus + Kismet + Wellenreiter" in meiner Strasse auf und ab gegangen und habe alle Netze und die Mac-Adressen mit geschrieben. Das einzige was mich jetzt bei Dir aufhalten könnte wäre WAP. Gut das Du das umgestellt hast! Grusz P.S.: Es war eine Adresse dabei, deren ID war "erdgeschossrechts", WEP verschlüsselt! -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables standortbezogen - oder besser nicht?
Also sprach Joerg Zimmermann <[EMAIL PROTECTED]> (Fri, 18 Aug 2006 12:18:02 +0200): > Hi, Hoi, > Richard Mittendorfer wrote: > > Also sprach "Dirk Ullrich" <[EMAIL PROTECTED]> (Fri, 18 > > Aug 2006 10:50:32 +0200): > >>> Die wichtigste: Innerhalb meines Heim-Netzes erlaube ich meinem > >Desktop >> natürlich uneingeschränkten Zugriff auf mein Notebook über > >Freigabe der >> IP-Adresse. Wenn ich diese Regel uneingeschränkt > >setze und ich mich mal >> in einem anderen Netz mit gleichen Adressen > >befinde, würde ich ja >> versehentlich unerwünschten Gästen den > >Zugang erlauben. > Wenn ja, dann bleibe ich bei meiner Antwort: Ein > >Angreifer braucht nur die > MAC-Adresse des Rechners des anderen > >Netzes rausbekommen, dem der > Zugriff erlaubt ist. > > > > D.h. a) der Angreifer u.d. Notebook muessen sich im richtigen Netz > > befinden und b) der Angreifer muss die MAC des Rechners zuhause(!) > > beim OP wissen. MMn. halt keine wahrscheinliche Situation. > > Aber es kann ja nicht schaden es sicherer zu machen. Kann natuerlich nicht schaden. Eine automatische Moeglichkeit waer' ein kleines Skript, von z.B. if-up aufgerufen, das je nach Umgebung die rules setzt. Kein grosser Aufwand und vermutlich gibt's dafuer auch schon ein Paket - whereami vielleicht. > Ich verwende > auf meinem Laptop dafür einen Portknocker (sadoor, [Sequenzen und > keys]). Den knockd hab ich schon ein paar Jahre im Einsatz. Allerdings nur um bei entfernten Rechner den ssh zu oeffnen - fuer administratives. > -Jörg sl ritch
Re: iptables standortbezogen - oder besser nicht?
Also sprach "Dirk Ullrich" <[EMAIL PROTECTED]> (Fri, 18 Aug 2006 12:05:07 +0200): > 2006/8/18, Richard Mittendorfer <[EMAIL PROTECTED]>: > > D.h. a) der Angreifer u.d. Notebook muessen sich im richtigen Netz > > befinden und b) der Angreifer muss die MAC des Rechners zuhause(!) > > beim OP wissen. MMn. halt keine wahrscheinliche Situation. > Ich stimme Dir zu dass dies keine wahrscheinliche Situation ist. > Trotzdem mache ich bei meinen mobilen Geräten > Zugriffsberechtigungen von anderen Rechnern aus _nie_ von > irgendwelchen statischen Parametern abhängig. Och, die sind bei mir statisch: sshd und das war's. Damit laesst sich schon so gut wie alles machen, sollts dennoch mal z.B. http sein: 'ssh /etc/init.d/webfs start'. iptables laufen da oft gar nicht erst. > Eine geeignete > Authentifizierung lässt sich in einem solchen Fall immer sicherer > machen. Durchaus, meistens zumindest. Es kommt halt darauf an welche Sicherheit ich auf besagtem Rechner brauche. Einen Rechner mit sensiblen Daten werd' ich klarerweise in kein fremdes Netz haengen oder ihm ein WLAN Interface spendieren. > Dirk sl ritch
Re: iptables standortbezogen - oder besser nicht?
Hi, Richard Mittendorfer wrote: > Also sprach "Dirk Ullrich" <[EMAIL PROTECTED]> (Fri, 18 Aug 2006 10:50:32 > +0200): >>> Die wichtigste: Innerhalb meines Heim-Netzes erlaube ich meinem Desktop >>> natürlich uneingeschränkten Zugriff auf mein Notebook über Freigabe der >>> IP-Adresse. Wenn ich diese Regel uneingeschränkt setze und ich mich mal >>> in einem anderen Netz mit gleichen Adressen befinde, würde ich ja >>> versehentlich unerwünschten Gästen den Zugang erlauben. >> Wenn ja, dann bleibe ich bei meiner Antwort: Ein Angreifer braucht nur die >> MAC-Adresse des Rechners des anderen Netzes rausbekommen, dem der >> Zugriff erlaubt ist. > > D.h. a) der Angreifer u.d. Notebook muessen sich im richtigen Netz > befinden und b) der Angreifer muss die MAC des Rechners zuhause(!) beim > OP wissen. MMn. halt keine wahrscheinliche Situation. Aber es kann ja nicht schaden es sicherer zu machen. Ich verwende auf meinem Laptop dafür einen Portknocker (sadoor, [Sequenzen und keys]). -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables standortbezogen - oder besser nicht?
2006/8/18, Richard Mittendorfer <[EMAIL PROTECTED]>: D.h. a) der Angreifer u.d. Notebook muessen sich im richtigen Netz befinden und b) der Angreifer muss die MAC des Rechners zuhause(!) beim OP wissen. MMn. halt keine wahrscheinliche Situation. Ich stimme Dir zu dass dies keine wahrscheinliche Situation ist. Trotzdem mache ich bei meinen mobilen Geräten Zugriffsberechtigungen von anderen Rechnern aus _nie_ von irgendwelchen statischen Parametern abhängig. Eine geeignete Authentifizierung lässt sich in einem solchen Fall immer sicherer machen. Dirk
Re: iptables standortbezogen - oder besser nicht?
Also sprach "Dirk Ullrich" <[EMAIL PROTECTED]> (Fri, 18 Aug 2006 10:50:32 +0200): > >Die wichtigste: Innerhalb meines Heim-Netzes erlaube ich meinem Desktop > > natürlich uneingeschränkten Zugriff auf mein Notebook über Freigabe der > > IP-Adresse. Wenn ich diese Regel uneingeschränkt setze und ich mich mal > > in einem anderen Netz mit gleichen Adressen befinde, würde ich ja > > versehentlich unerwünschten Gästen den Zugang erlauben. > > Wenn ja, dann bleibe ich bei meiner Antwort: Ein Angreifer braucht nur die > MAC-Adresse des Rechners des anderen Netzes rausbekommen, dem der > Zugriff erlaubt ist. D.h. a) der Angreifer u.d. Notebook muessen sich im richtigen Netz befinden und b) der Angreifer muss die MAC des Rechners zuhause(!) beim OP wissen. MMn. halt keine wahrscheinliche Situation. > Dirk sl ritch
Re: iptables standortbezogen - oder besser nicht?
Richard Mittendorfer <[EMAIL PROTECTED]>: Also sprach "Dirk Ullrich" <[EMAIL PROTECTED]> (Thu, 17 Aug 2006 20:18:59 +0200): > 2006/8/12, Richard Mittendorfer <[EMAIL PROTECTED]>: > > Nimm eine MAC rule. Die Wahrscheinlichkeit das die in fremden > > Umgebungen passt geht gegen Null. > > > > -m mac --mac-source xx:xx:xx:xx:xx:xx -j ACCEPT > > > Das ist alles andere als sicher: Wenn jemand die MAC-Adresse > rausbekommt, kann er sie bei den meisten Karten mit > ifconfig hw ether > vortäuschen. Mir scheint, du hast die (unzitierte) Frage nicht recht verstanden. > Dirk sl ritch Ach ja? War die Frage nicht die folgende (Zitat aus dem ursprünglichen Beitrag von Rüdiger N.): Die wichtigste: Innerhalb meines Heim-Netzes erlaube ich meinem Desktop natürlich uneingeschränkten Zugriff auf mein Notebook über Freigabe der IP-Adresse. Wenn ich diese Regel uneingeschränkt setze und ich mich mal in einem anderen Netz mit gleichen Adressen befinde, würde ich ja versehentlich unerwünschten Gästen den Zugang erlauben. Hat jemand ein paar Tipps, wie man hier vorgehen könnte? Wenn ja, dann bleibe ich bei meiner Antwort: Ein Angreifer braucht nur die MAC-Adresse des Rechners des anderen Netzes rausbekommen, dem der Zugriff erlaubt ist. Dirk
Re: iptables standortbezogen - oder besser nicht?
Also sprach "Dirk Ullrich" <[EMAIL PROTECTED]> (Thu, 17 Aug 2006 20:18:59 +0200): > 2006/8/12, Richard Mittendorfer <[EMAIL PROTECTED]>: > > Nimm eine MAC rule. Die Wahrscheinlichkeit das die in fremden > > Umgebungen passt geht gegen Null. > > > > -m mac --mac-source xx:xx:xx:xx:xx:xx -j ACCEPT > > > Das ist alles andere als sicher: Wenn jemand die MAC-Adresse > rausbekommt, kann er sie bei den meisten Karten mit > ifconfig hw ether > vortäuschen. Mir scheint, du hast die (unzitierte) Frage nicht recht verstanden. > Dirk sl ritch
Re: iptables standortbezogen - oder besser nicht?
2006/8/12, Richard Mittendorfer <[EMAIL PROTECTED]>: Nimm eine MAC rule. Die Wahrscheinlichkeit das die in fremden Umgebungen passt geht gegen Null. -m mac --mac-source xx:xx:xx:xx:xx:xx -j ACCEPT Das ist alles andere als sicher: Wenn jemand die MAC-Adresse rausbekommt, kann er sie bei den meisten Karten mit ifconfig hw ether vortäuschen. Dirk
Re: iptables standortbezogen - oder besser nicht?
Richard Mittendorfer schrieb: > Nimm eine MAC rule. Die Wahrscheinlichkeit das die in fremden Umgebungen > passt geht gegen Null. > > -m mac --mac-source xx:xx:xx:xx:xx:xx -j ACCEPT > Danke, das ist überzeugend. Rüdiger, der sich mal wieder die iptables-Möglichkeiten ansehen muss -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables standortbezogen - oder besser nicht?
Also sprach Rüdiger Noack <[EMAIL PROTECTED]> (Sat, 12 Aug 2006 07:05:41 +0200): > Moin Hi, > Die wichtigste: Innerhalb meines Heim-Netzes erlaube ich meinem > Desktop > natürlich uneingeschränkten Zugriff auf mein Notebook über Freigabe > der > IP-Adresse. Wenn ich diese Regel uneingeschränkt setze und ich mich > mal in einem anderen Netz mit gleichen Adressen befinde, würde ich ja > versehentlich unerwünschten Gästen den Zugang erlauben. > > Hat jemand ein paar Tipps, wie man hier vorgehen könnte? Nimm eine MAC rule. Die Wahrscheinlichkeit das die in fremden Umgebungen passt geht gegen Null. -m mac --mac-source xx:xx:xx:xx:xx:xx -j ACCEPT > Danke und Gruß > Rüdiger sl ritch
iptables standortbezogen - oder besser nicht?
Moin Ich habe mein iptables-Regelwerk auf dem Notebook so aufgebaut, dass es standortbezogen arbeitet. Seitdem ich zuhause auf WPA umgestellt habe, funktioniert aus Gründen, die ich noch nicht herausgefunden habe, die automatische Regelwerkanpassung nicht mehr. Ich muss also iptables manuell neu starten - das nervt etwas. Nun habe ich mir die Frage gestellt, ob ich auf diese Standortabhängigkeit nicht verzichten könnte, habe aber noch offene Fragen. Die wichtigste: Innerhalb meines Heim-Netzes erlaube ich meinem Desktop natürlich uneingeschränkten Zugriff auf mein Notebook über Freigabe der IP-Adresse. Wenn ich diese Regel uneingeschränkt setze und ich mich mal in einem anderen Netz mit gleichen Adressen befinde, würde ich ja versehentlich unerwünschten Gästen den Zugang erlauben. Hat jemand ein paar Tipps, wie man hier vorgehen könnte? Danke und Gruß Rüdiger -- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: nfs und iptables
On Fri, Aug 04, 2006 at 09:22:47AM +0200, Klemens Kittan wrote: > Hi, > > ich bin dabei die Filserver auf Debian umzustellen. Es läuft auch sehr gut. > Als letzten Schritt wollte ich den Fileserver mit einer Firewall absichern. > Für den NFS-Dienst gibt es ja im Netzt jede Menge Anleitungen. Also habe ich > die einzelnen Komponenten des NFS wie beschrieben an feste Ports gebunden. > Nur der lockd bereitet mir Ärger. Da kann ich machen was ich will, er läst > sich nicht an einen festen Port binden. Kann mir da jemand weiterhelfen? NFS filtern ist nicht nur lästig, sondern imho auch überflüssig. Was bezweckst du damit? cu ulf -- Ulf Volmer [EMAIL PROTECTED] www.u-v.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
nfs und iptables
Hi, ich bin dabei die Filserver auf Debian umzustellen. Es läuft auch sehr gut. Als letzten Schritt wollte ich den Fileserver mit einer Firewall absichern. Für den NFS-Dienst gibt es ja im Netzt jede Menge Anleitungen. Also habe ich die einzelnen Komponenten des NFS wie beschrieben an feste Ports gebunden. Nur der lockd bereitet mir Ärger. Da kann ich machen was ich will, er läst sich nicht an einen festen Port binden. Kann mir da jemand weiterhelfen? System: sarge mit Kernel 2.6.8 /etc/default/nfs-common: STATDOPTS="-p 4001" NEED_LOCKD="yes" /etc/default/nfs-kernel-server: RPCMOUNTDOPTS="-p 4003" /etc/services: rquotad 4004/tcp rquotad 4004/udp /etc/modules.conf: options lockd nlm_udpport=4002 nlm_tcpport=4002 /boot/grub/menu.lst: kernel /boot/vmlinuz-2.6.8 root=/dev/sda1 ro vga=791 lockd.udpport=4002 lockd.tcpport=4002 rpcinfo -p: program vers proto port 102 tcp111 portmapper 102 udp111 portmapper 132 udp 2049 nfs 133 udp 2049 nfs 134 udp 2049 nfs 132 tcp 2049 nfs 133 tcp 2049 nfs 134 tcp 2049 nfs 1000211 udp 32768 nlockmgr 1000213 udp 32768 nlockmgr 1000214 udp 32768 nlockmgr 1000211 tcp 32775 nlockmgr 1000213 tcp 32775 nlockmgr 1000214 tcp 32775 nlockmgr 151 udp 4003 mountd 151 tcp 4003 mountd 152 udp 4003 mountd 152 tcp 4003 mountd 153 udp 4003 mountd 153 tcp 4003 mountd 1000241 udp 4001 status 1000241 tcp 4001 status 1000111 udp 4004 rquotad 1000112 udp 4004 rquotad 1000111 tcp 4004 rquotad 1000112 tcp 4004 rquotad Klemens pgpSfw4QwEiTU.pgp Description: PGP signature
Re: iptables nach ipchaines portieren
Jens Schüßler <[EMAIL PROTECTED]> wrote:
> * Sven Hartge <[EMAIL PROTECTED]> wrote:
>> Christian Frommeyer <[EMAIL PROTECTED]> wrote:
>>> Am Mittwoch 26 Juli 2006 18:24 schrieb Marco Estrada Martinez:
>>>> Bei mir läuft aber ("leider") ein 2.4 er Kernel genau dieser ->
>>> Auch 2.4 sollte eigentlich iptables können. Da konnte man aber IIRC
>>> noch das als depreciated gekennzeichnete ipchains verwenden.
>> Hmm, wie war das noch:
>> 2.0: ipfwadm, ipmasqadm
>> 2.2: ipchains
>> 2.4: iptables
>> 2.6 iptables oder ipchains, je nach Konfiguration
>>
>> Oder erinnere ich mich falsch?
> 2.4 kann auch beides und bei den neueren 2.6er-Kerneln
> (AFAIK seit 2.6.9) ist ipchains rausgeflogen.
Gut. Seit 2.4 habe ich mich nie wieder mit ipchains befasst, daher war
die Erinnerung, bis wann der entsprechende Support in Netfilter war,
etwas verblasst.
S°
--
Sven Hartge -- professioneller Unix-Geek
Meine Gedanken im Netz: http://www.svenhartge.de/
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables nach ipchaines portieren
Hallo
Sven Hartge (<[EMAIL PROTECTED]>) wrote:
> Christian Frommeyer <[EMAIL PROTECTED]> wrote:
>> Am Mittwoch 26 Juli 2006 18:24 schrieb Marco Estrada Martinez:
>
>>> Bei mir läuft aber ("leider") ein 2.4 er Kernel genau dieser ->
>
>> Auch 2.4 sollte eigentlich iptables können. Da konnte man aber IIRC
>> noch das als depreciated gekennzeichnete ipchains verwenden.
>
> Hmm, wie war das noch:
>
> 2.0: ipfwadm, ipmasqadm
> 2.2: ipchains
> 2.4: iptables
> 2.6 iptables oder ipchains, je nach Konfiguration
>
> Oder erinnere ich mich falsch?
2.4 kann auch ipchains, es gibt dafür ein Kompatibilitätsmodul. Ebenso
ipfwadm. Bei meinem (aktuellen) 2.6er kann ich davon nichts mehr
finden, frühere Kernel hatten das aber auch. Laut packages.debian.org
haben unter anderem die 2.6.8er Pakete für Sarge noch ipchains.ko
dabei, genauso wie ipfwadm.ko.
Grüße
Andreas Janssen
--
Andreas Janssen <[EMAIL PROTECTED]>
PGP-Key-ID: 0xDC801674 ICQ #17079270
Registered Linux User #267976
http://www.andreas-janssen.de/debian-tipps-sarge.html
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables nach ipchaines portieren
* Sven Hartge <[EMAIL PROTECTED]> wrote:
> Christian Frommeyer <[EMAIL PROTECTED]> wrote:
> > Am Mittwoch 26 Juli 2006 18:24 schrieb Marco Estrada Martinez:
>
> >> Bei mir läuft aber ("leider") ein 2.4 er Kernel genau dieser ->
>
> > Auch 2.4 sollte eigentlich iptables können. Da konnte man aber IIRC
> > noch das als depreciated gekennzeichnete ipchains verwenden.
>
> Hmm, wie war das noch:
>
> 2.0: ipfwadm, ipmasqadm
> 2.2: ipchains
> 2.4: iptables
> 2.6 iptables oder ipchains, je nach Konfiguration
>
> Oder erinnere ich mich falsch?
2.4 kann auch beides und bei den neueren 2.6er-Kerneln
(AFAIK seit 2.6.9) ist ipchains rausgeflogen.
Gruss
Jens
Re: iptables nach ipchaines portieren
Marco Estrada Martinez <[EMAIL PROTECTED]> wrote:
> Sven Hartge wrote:
>> Aber: Alle verbreiteten VServer-Lösungen basieren auf Linux 2.6.x und
>> dort gibt es eben iptables.
> Bei mir läuft aber ("leider") ein 2.4 er Kernel genau dieser ->
> > uname -a
> Linux vserver523 2.4.29-vs1.2.10 #1 SMP Tue Jan 25 12:05:19 CET 2005
> i686 GNU/Linux
Mach doch einmal ein "ipchains -L". Wenn dort eine Ausgabe zurückkommt
und keine Fehlermeldung, dann geht es immerhin. Vermutlich dürfest du
aber einen Fehler bekommen und damit war es das dann eh.
S°
--
Sven Hartge -- professioneller Unix-Geek
Meine Gedanken im Netz: http://www.svenhartge.de/
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables nach ipchaines portieren
Christian Frommeyer <[EMAIL PROTECTED]> wrote:
> Am Mittwoch 26 Juli 2006 18:24 schrieb Marco Estrada Martinez:
>> Bei mir läuft aber ("leider") ein 2.4 er Kernel genau dieser ->
> Auch 2.4 sollte eigentlich iptables können. Da konnte man aber IIRC
> noch das als depreciated gekennzeichnete ipchains verwenden.
Hmm, wie war das noch:
2.0: ipfwadm, ipmasqadm
2.2: ipchains
2.4: iptables
2.6 iptables oder ipchains, je nach Konfiguration
Oder erinnere ich mich falsch?
S°
--
Sven Hartge -- professioneller Unix-Geek
Meine Gedanken im Netz: http://www.svenhartge.de/
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables nach ipchaines portieren
Am Mittwoch 26 Juli 2006 18:24 schrieb Marco Estrada Martinez:
> Bei mir läuft aber ("leider") ein 2.4 er Kernel genau dieser ->
Auch 2.4 sollte eigentlich iptables können. Da konnte man aber IIRC noch
das als depreciated gekennzeichnete ipchains verwenden.
Gruß Chris
--
A: because it distrupts the normal process of thought
Q: why is top posting frowned upon
Re: iptables nach ipchaines portieren
Sven Hartge wrote:
Aber: Alle verbreiteten VServer-Lösungen basieren auf Linux 2.6.x und
dort gibt es eben iptables.
Bei mir läuft aber ("leider") ein 2.4 er Kernel genau dieser ->
> uname -a
Linux vserver523 2.4.29-vs1.2.10 #1 SMP Tue Jan 25 12:05:19 CET 2005
i686 GNU/Linux
Leider läßt du dich nicht über den Anbieter aus, so daß man nichts
nähere über die grundlegende Möglichkeit, eigenen Filter anzulegen,
sagen kann.
Der Provider ist serverflex
THX Marco
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables nach ipchaines portieren
Marco Estrada Martinez <[EMAIL PROTECTED]> wrote: > ich habe einen vserver. Nun ist dort weder im kernel noch als packet > iptables installiert. Ich kenne keine VServer-Variante, die dir eigene Filter-Regeln ermöglicht (was nicht heissen soll, das es dies nicht gibt.) Aber: Alle verbreiteten VServer-Lösungen basieren auf Linux 2.6.x und dort gibt es eben iptables. Leider läßt du dich nicht über den Anbieter aus, so daß man nichts nähere über die grundlegende Möglichkeit, eigenen Filter anzulegen, sagen kann. S° -- Sven Hartge -- professioneller Unix-Geek Meine Gedanken im Netz: http://www.svenhartge.de/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
iptables nach ipchaines portieren
Hi @ all, ich habe einen vserver. Nun ist dort weder im kernel noch als packet iptables installiert. Aber ipchaines. Nun meine Frage ict es irgendwie möglich mein vorhandenes iptablesscript zu ipchaines zu portieren? Oder bleibt mir nicht anderes übrig ipchaines zu lernen? Vielen Dank für Eure Ideen THX Marco -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables
am 21.07.2006, um 15:17:14 +0200 mailte Jan Dinger folgendes: > Ok, danke das werde ich mir mal zugemühte führen. Dann klappt das > bestimmt auch. Führe Dir *bitte* auch http://learn.to/quote zu Gemüte, falls Du weiterhin hier Hilfe erwartest. > > Richard Mittendorfer wrote: TOFU entsorgt. Andreas -- Andreas Kretschmer(Kontakt: siehe Header) Heynitz: 035242/47215, D1: 0160/7141639 GnuPG-ID 0x3FFF606C http://wwwkeys.de.pgp.net ===Schollglas Unternehmensgruppe=== -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables
Am Freitag, 21. Juli 2006 12:00 schrieb Jan Dinger: > Gut danke für die schnelle Antwort nur ein Problem: > > # iptables -A INPUT -i $EXTDEV -p tcp --dport 22 -m state --state NEW > -j ACCEPT > Bad argument `tcp' > Try `iptables -h' or 'iptables --help' for more information. > > Was ist da faul? Vermutlich hast du $EXTDEV nicht gesetzt. Das ist eine Variable und die braucht Inhalt. Wenn sie leer ist könnte (dürfte nicht, aber alles andere scheidet aus) als Wert für das Device -p genommen werden. Hat zwar keinen Sinn, aber dann würde als nächstes tcp stehen, und das hat dann einen Syntax-Error zur Folge. -- MfG usw. Werner Mahr registered Linuxuser: 303822 pgpYuww6HRwtz.pgp Description: PGP signature
Re: iptables
Ok, danke das werde ich mir mal zugemühte führen. Dann klappt das bestimmt auch. Richard Mittendorfer wrote: > Dein reply to: ist gesetzt. > > Also sprach Jan Dinger <[EMAIL PROTECTED]> (Fri, 21 Jul 2006 14:53:47 > +0200): > >> Hi, ich habe jetzt meine iptables eingerichtet aber nix geht :) komme >> via ssh nicht mehr drauf und http (port 80) geht auch net mehr :( wo ist >> da mein fehler? >> >> # iptables --list >> > > iptables -L -v ist besser geeignet. > > >> Chain INPUT (policy DROP) >> target prot opt source destination >> ACCEPT tcp -- anywhere foo.tdl.de tcp dpt:ssh state NEW >> ACCEPT tcp -- anywhere foo.tdl.de tcp dpt:www state NEW >> > > ESTABLISHED,RELATED ebenfalls ACCEPT. foo.tld.de ist aber doch dieser > Rechner? Wenn nicht, gehoert hier wohl eine REDIRECT oder FORWARD rule > gelegt. > > >> Chain FORWARD (policy ACCEPT) >> target prot opt source destination >> ACCEPT tcp -- anywhere anywheretcp >> flags:FIN,SYN,RST,ACK/SYN limit: avg 1/sec burst 5 >> ACCEPT tcp -- anywhere anywheretcp >> flags:FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5 >> ACCEPT icmp -- anywhere anywhereicmp >> echo-request limit: avg 1/sec burst 5 >> LOGall -- anywhere anywherelimit: avg >> 3/hour burst 5 LOG level warning >> > > Der Zweck dieser rules entzieht sich mir. > > >> Chain OUTPUT (policy ACCEPT) >> target prot opt source destination >> >> >> iptables -A INPUT -p tcp --dport 80 -d xxx.xxx.xxx.xxx -m state --state >> NEW -j ACCEPT >> > > "NEW" ist eine Verbindung, wenn sie neu ist. Eine vom Tracking als > "ESTABLISHED" oder "RELATED" angesehene Verbindung _nicht_ mehr. > > Gute Docs sind auf www.netfilter.org zu finden. Ich empfehle dir > dringend diese zu lesen (und zu verstehen) -- Eine (funktionierende) > Firewall erwartet sowas. ;-) > > >> mfg >> >> Jan >> > > sl ritch > > > -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables
Dein reply to: ist gesetzt. Also sprach Jan Dinger <[EMAIL PROTECTED]> (Fri, 21 Jul 2006 14:53:47 +0200): > Hi, ich habe jetzt meine iptables eingerichtet aber nix geht :) komme > via ssh nicht mehr drauf und http (port 80) geht auch net mehr :( wo ist > da mein fehler? > > # iptables --list iptables -L -v ist besser geeignet. > Chain INPUT (policy DROP) > target prot opt source destination > ACCEPT tcp -- anywhere foo.tdl.de tcp dpt:ssh state NEW > ACCEPT tcp -- anywhere foo.tdl.de tcp dpt:www state NEW ESTABLISHED,RELATED ebenfalls ACCEPT. foo.tld.de ist aber doch dieser Rechner? Wenn nicht, gehoert hier wohl eine REDIRECT oder FORWARD rule gelegt. > Chain FORWARD (policy ACCEPT) > target prot opt source destination > ACCEPT tcp -- anywhere anywheretcp > flags:FIN,SYN,RST,ACK/SYN limit: avg 1/sec burst 5 > ACCEPT tcp -- anywhere anywheretcp > flags:FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5 > ACCEPT icmp -- anywhere anywhereicmp > echo-request limit: avg 1/sec burst 5 > LOGall -- anywhere anywherelimit: avg > 3/hour burst 5 LOG level warning Der Zweck dieser rules entzieht sich mir. > Chain OUTPUT (policy ACCEPT) > target prot opt source destination > > > iptables -A INPUT -p tcp --dport 80 -d xxx.xxx.xxx.xxx -m state --state > NEW -j ACCEPT "NEW" ist eine Verbindung, wenn sie neu ist. Eine vom Tracking als "ESTABLISHED" oder "RELATED" angesehene Verbindung _nicht_ mehr. Gute Docs sind auf www.netfilter.org zu finden. Ich empfehle dir dringend diese zu lesen (und zu verstehen) -- Eine (funktionierende) Firewall erwartet sowas. ;-) > mfg > > Jan sl ritch -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables
Hi, ich habe jetzt meine iptables eingerichtet aber nix geht :) komme via ssh nicht mehr drauf und http (port 80) geht auch net mehr :( wo ist da mein fehler? # iptables --list Chain INPUT (policy DROP) target prot opt source destination ACCEPT tcp -- anywhere foo.tdl.de tcp dpt:ssh state NEW ACCEPT tcp -- anywhere foo.tdl.de tcp dpt:www state NEW Chain FORWARD (policy ACCEPT) target prot opt source destination ACCEPT tcp -- anywhere anywheretcp flags:FIN,SYN,RST,ACK/SYN limit: avg 1/sec burst 5 ACCEPT tcp -- anywhere anywheretcp flags:FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5 ACCEPT icmp -- anywhere anywhereicmp echo-request limit: avg 1/sec burst 5 LOGall -- anywhere anywherelimit: avg 3/hour burst 5 LOG level warning Chain OUTPUT (policy ACCEPT) target prot opt source destination iptables -A INPUT -p tcp --dport 80 -d xxx.xxx.xxx.xxx -m state --state NEW -j ACCEPT mfg Jan -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables
am 21.07.2006, um 12:00:50 +0200 mailte Jan Dinger folgendes: > Gut danke für die schnelle Antwort nur ein Problem: > > # iptables -A INPUT -i $EXTDEV -p tcp --dport 22 -m state --state NEW -j > ACCEPT > Bad argument `tcp' > Try `iptables -h' or 'iptables --help' for more information. > > Was ist da faul? Ich sehe da nix flasches... möglicherweise fehlt Dir ein nötiges Modul. > > Dann noch was wenn ich INPUT auf Drop gesetzt habe, wozu brauche ich > dann noch REJECT funktionen? weil es ist doch quasi alles geblockt außer DROP ist böse. Andreas -- Andreas Kretschmer(Kontakt: siehe Header) Heynitz: 035242/47215, D1: 0160/7141639 GnuPG-ID 0x3FFF606C http://wwwkeys.de.pgp.net ===Schollglas Unternehmensgruppe=== -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables
On Fri, Jul 21, 2006 at 11:53:31AM +0200, Stefan Bauer wrote: iptables -P INPUT REJECT pc01:~# iptables -P INPUT REJECT iptables: Bad policy name REJECT ist nicht erlaubt als Default-Policy, nur ACCEPT und DROP. iptables -A INPUT -i $EXTDEV -p tcp --dport 22 -m state --state NEW -j ACCEPT Da fehlt besser noch ein --syn hinter dem -p tcp. Ist besser (siehe die Diskussion auf debian-firewall). Und jetzt fehlen die Antworten: iptables -A INPUT -m state –state ESTABLISHED -j ACCEPT iptables -A OUTPUT -m state –state ESTABLISHED -j ACCEPT Shade and sweet water! Stephan -- | Stephan SeitzE-Mail: [EMAIL PROTECTED] | | PGP Public Keys: http://fsing.rootsland.net/~stse/pgp.html | signature.asc Description: Digital signature
Re: iptables
Jan Dinger schrieb: Hi, ich möchte meine iptables konfigurieren, habe aber ein paar kleine probs bzw weiß den syntax nicht so richtig. # iptables --list Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination das ist mein derzeitiger stand. Ich möchte das von haus aus die INPUT chain REJECTET wird. (Da weiß ich den Syntax nicht) und dann will ich die bestimmten ports freischalten mit: iptables -A INPUT -d xxx.xxx.xxx.xxx -p tcp --dport 22 -j ACCEPT Kann mir jemand helfen? Oder mir auch verbesserungs vorschläge geben? mfg Jan Für den ersten Einstieg: http://www.harry.homelinux.org/modules.php?name=iptables_Generator Kann (nur) ein erster Schritt sein, aber FWs sind immer sehr individuell. Grusz aus der Enklave -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables
am 21.07.2006, um 11:53:31 +0200 mailte Stefan Bauer folgendes: > Jan Dinger schrieb: > >Ich möchte das von haus aus die INPUT chain REJECTET wird. > > iptables -P INPUT REJECT iptables: Bad policy name > > >und dann will ich die bestimmten ports freischalten mit: > >iptables -A INPUT -d xxx.xxx.xxx.xxx -p tcp --dport 22 -j ACCEPT > > iptables -A INPUT -i $EXTDEV -p tcp --dport 22 -m state --state NEW -j > ACCEPT Das reicht nicht. Andreas -- Andreas Kretschmer(Kontakt: siehe Header) Heynitz: 035242/47215, D1: 0160/7141639 GnuPG-ID 0x3FFF606C http://wwwkeys.de.pgp.net ===Schollglas Unternehmensgruppe=== -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables
Andreas Kretschmer schrieb: Es geht als Policy nur DROP. Macht aber nix, setze das, dann erlaube, was zu erlauben ist, dann Regeln für REJECT. Fertisch. mein fehler, sorry, ich werd das buch nochmal genauer lesen :) gruß stefan bauer -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables
Gut danke für die schnelle Antwort nur ein Problem: # iptables -A INPUT -i $EXTDEV -p tcp --dport 22 -m state --state NEW -j ACCEPT Bad argument `tcp' Try `iptables -h' or 'iptables --help' for more information. Was ist da faul? Dann noch was wenn ich INPUT auf Drop gesetzt habe, wozu brauche ich dann noch REJECT funktionen? weil es ist doch quasi alles geblockt außer was ich freigebe. Mein problem ist einfach das es für eine Protfreigabe mehere arten der schreibweise gibt und ich weiß nicht was die beste ist. Ich habe es bis jetzt nur flüchtig gemacht. mfg Jan -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables
Jan Dinger schrieb: Ich möchte das von haus aus die INPUT chain REJECTET wird. iptables -P INPUT REJECT und dann will ich die bestimmten ports freischalten mit: iptables -A INPUT -d xxx.xxx.xxx.xxx -p tcp --dport 22 -j ACCEPT iptables -A INPUT -i $EXTDEV -p tcp --dport 22 -m state --state NEW -j ACCEPT Gruß Stefan Bauer PS: Wenn du des öfteren mit Firewalls zu tun hast, rate ich dir das Buch von Ralf Spenneberg - Linux-Firewalls mit iptables & Co. Addison Wesley 2006 gibts gebraucht billig bei amazon.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables
am 21.07.2006, um 11:43:40 +0200 mailte Jan Dinger folgendes: > Ich möchte das von haus aus die INPUT chain REJECTET wird. (Da weiß ich > den Syntax nicht) Es geht als Policy nur DROP. Macht aber nix, setze das, dann erlaube, was zu erlauben ist, dann Regeln für REJECT. Fertisch. > Oder mir auch verbesserungs vorschläge geben? Die Doku auf der Homepage von iptables hast Du schon gefunden? Da steht IIRC das quasi als Bleistift drin. Andreas -- Andreas Kretschmer(Kontakt: siehe Header) Heynitz: 035242/47215, D1: 0160/7141639 GnuPG-ID 0x3FFF606C http://wwwkeys.de.pgp.net ===Schollglas Unternehmensgruppe=== -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
iptables
Hi, ich möchte meine iptables konfigurieren, habe aber ein paar kleine probs bzw weiß den syntax nicht so richtig. # iptables --list Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination das ist mein derzeitiger stand. Ich möchte das von haus aus die INPUT chain REJECTET wird. (Da weiß ich den Syntax nicht) und dann will ich die bestimmten ports freischalten mit: iptables -A INPUT -d xxx.xxx.xxx.xxx -p tcp --dport 22 -j ACCEPT Kann mir jemand helfen? Oder mir auch verbesserungs vorschläge geben? mfg Jan -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Firewall im Intranet (iptables)
Manfred Rebentisch schrieb: Hallo, ich bin immer noch kein Firewall-Profi und suche nach einem Beispiel für mein Intranet. Bei meiner Recherche habe ich kein passendes Beispiel gefunden. Ich habe einen Firewall-Rechner, der zwei Ethernet-Karten hat. Eine geht an DSL die andere geht direkt zum Server. Der Server wiederum hat auch zwei Ethernet-Karten. Eine geht zur Firewall und die andere zum Switch. Vom Switch gehts an meine Rechner. [...] Der Sinn erschliesst sich nicht sofort aber na ja. http://www.harry.homelinux.org/modules.php?name=iptables_Generator Kann (nur) ein erster Schritt sein, aber FWs sind immer sehr individuell. Grusz aus der Enklave -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Firewall im Intranet (iptables)
Gruesse! * Manfred Rebentisch <[EMAIL PROTECTED]> schrieb am [18.07.06 06:53]: > > Ich habe einen Firewall-Rechner, der zwei Ethernet-Karten hat. Eine geht an > DSL die andere geht > direkt zum Server. > > Der Server wiederum hat auch zwei Ethernet-Karten. Eine geht zur Firewall > und die andere zum > Switch. Vom Switch gehts an meine Rechner. > > Internet -> FW dsl0 / 192.168.90.1 -> >Server 192.168.90.2 / 192.168.100.1 -> > -> Client 192.168.100.2 > -> Client 192.168.100.3 > -> etc. > > Was ich suche, ist eine Firewall-Konfiguration für den Server (also NICHT für > die Firewall), der > komplett im Intranet steht. -> um die Clients zu reglementieren bzw. dich vor den Clients zu "schützen"? > Hier möchte ich nach Bedarf Dienste verbieten oder erlauben. -> Den Clients verbieten oder erlauben? Mir erschließt sich deine Absicht noch nicht ganz ;-) Der Traffic von "außen" wird an der ersten Stelle, an der Pakete aus dem Internet dein LAN erreichen, reglementiert: > Die Firewall routet HTTPS und SSH auf einem speziellen Port durch zum > Server - sonst nix. Jede Regel, die du am Server triffst, kann ja nur diesen Server vor dem Zugriff entweder der Clients oder der FW schützen - andere Pakete erreichen den Rechner ja nicht. Zu den Diensten, die du den Clients und der FW "bei Bedarf" erlauben oder verbieten willst: ist deine Absicht z.B. nur _einzelnen_ Rechnern den Zugriff nicht zu erlauben oder den Zugriff komplett zu sperren? Wenn letzteres, dann bietet sich eher an den Dienst komplett zu stoppen. Wenn ersteres, dann bieten viele Services schon in der Konfiguration die Möglichkeit der Zugriffsregelung auf sich an. > Zur Zeit habe ich da ein altes > restore-Script von der früheren SuSE-Firewall laufen, daß ich nicht wirklich > pflegen mag > (unnötig komplex). > Vor allem möchte ich, daß der Firewall-Rechner UND die Client-Rechner > root-Mails zum Server > senden können (der Server beheimatet auch einen > Postfix-Intranet-EMail-Server). Das wäre dann Regeln wie: iptables -A INPUT -s 192.168.100.0/24 -p tcp --dport 25 -j ACCEPT iptables -A INPUT -s 192.168.90.1 -p tcp --dport 25 -j ACCEPT Die an geeigneter Stelle in deinem Regelwerk einfügen. > Also: hat jemand ein Beispiel Script für meine Rechner-Konstellation? Wohl kaum was "Fertisches", auf dich zugeschneidert;-) Aber schau dir mal das Paket fwbuilder (apt-cache show fwbuilder) an. Damit kannst du komfortabel und nachvollziehbare Regeln z.B. für deine FW und den Server verwalten. Das Programm z.B. auf deinem Arbeits-Client installieren und die Regeln an die FW/Server übetragen. > Grüße > Manfred Gruß Gerhard -- A: Weil es die Lesbarkeit des Textes verschlechtert. Q: Warum ist TOFU so schlimm? A: TOFU F: Was ist das groesste Aergerniss im Usenet? -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Firewall im Intranet (iptables)
Hallo, ich bin immer noch kein Firewall-Profi und suche nach einem Beispiel für mein Intranet. Bei meiner Recherche habe ich kein passendes Beispiel gefunden. Ich habe einen Firewall-Rechner, der zwei Ethernet-Karten hat. Eine geht an DSL die andere geht direkt zum Server. Der Server wiederum hat auch zwei Ethernet-Karten. Eine geht zur Firewall und die andere zum Switch. Vom Switch gehts an meine Rechner. Internet -> FW dsl0 / 192.168.90.1 -> Server 192.168.90.2 / 192.168.100.1 -> -> Client 192.168.100.2 -> Client 192.168.100.3 -> etc. Die Firewall routet HTTPS und SSH auf einem speziellen Port durch zum Server - sonst nix. Was ich suche, ist eine Firewall-Konfiguration für den Server (also NICHT für die Firewall), der komplett im Intranet steht. Hier möchte ich nach Bedarf Dienste verbieten oder erlauben. Zur Zeit habe ich da ein altes restore-Script von der früheren SuSE-Firewall laufen, daß ich nicht wirklich pflegen mag (unnötig komplex). Vor allem möchte ich, daß der Firewall-Rechner UND die Client-Rechner root-Mails zum Server senden können (der Server beheimatet auch einen Postfix-Intranet-EMail-Server). Also: hat jemand ein Beispiel Script für meine Rechner-Konstellation? Grüße Manfred
Re: Iptables automatisch bereinigen
[EMAIL PROTECTED] schrieb:
Guten Tag!
Hallo
Ich suche nach einer Lösung, um automatisch angelegte
Iptables (durch das IDS portsentry) regelmäßig wieder zu
entfernen. Leider bin ich auch nach mehrmaligem Suchen
nicht fündig geworden. Es würde schon reichen, wenn
alle 24h (cronjob) alle entrys bis auf sagen wir mal die 20
Neuesten gelöscht würden. Ziehen viele Einträge
stark an der Leistung eines systems?
Ein kleiner Suchtipp wäre schon prima!
Leg dir n Script mit deinen FW-Regeln nach etc/init.d und schreib an den
Anfang des Scripts:
cat /proc/net/ip_tables_names | while read table; do
iptables -t $table -L -n | while read c chain rest; do
if [ "X$c" = "XChain" ] ; then
iptables -t $table -F $chain
fi
done
iptables -t $table -X
done
Das sollte helfen
Hat jemand Erfahrung mit portsentry? Getstartet mit dem
Parameter "-atcp" (advanced mode) stürzen die Server
nach ca. 1 Woche ab, da keine Sockets mehr vorhanden
sind. Auch da wäre ich für Tipps dankbar, da ich sehr
gerne gerade die StealthScans blocken würde.
Schrieibe danach deine Regeln rein und das mal anhängen und scannen :-)
iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
#iptables -A INPUT -p tcp -m state --state INVALID -m limit --limit 10/m
-j LOG --log-level info
iptables -N SYNFLOOD
iptables -A INPUT -p tcp --syn -j SYNFLOOD
iptables -A SYNFLOOD -m limit --limit 1/s --limit-burst 4 -j RETURN
iptables -A SYNFLOOD -j DROP
IMHO: Weitere Anforderungen kenne ich nicht, aber Portsentry brauchste
wegen den Scans nicht zu nutzen.
dem Vorschlag mit Cron schließe ich mich an:
Schreib das Zeugs alles in n Script, leg es am besten in init.d ab (dann
wird s nachm booten ausgeführt) und lass es Cron von Zeit zu Zeit ausführen
Vielen Dank schonmal!
Schon recht
Felix
Grüßle
Thomas
___
Telefonate ohne weitere Kosten vom PC zum PC: http://messenger.yahoo.de
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables und kernel logging
On Thu, Jun 22, 2006 at 10:46:07AM +0200, Peter Velan wrote: > > Kann mir jemand bitte bei der Deutung der Logeinträge helfen? Das sieht nach DHCP aus, ob Client oder Server sehe ich grad nicht. Peter -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables und kernel logging
am 2006-06-22 22:37 schrieb Christian Schmidt: > Hallo Peter, > > Peter Velan, 22.06.2006 (d.m.y): > >> >> Ich glaube nicht, dass die DHCP-Anfragen aus dem Internet kommen. >> >> >> > Das glaube Ich ebenfalls Nicht, denn der ISP wird doch generelle >> > broadcasts nicht weitergeben >> >> Wie man es halt sieht: für mich beginnt das Internet dort, wo ich eine >> routbare fixe IP habe. > > Und ebendie hat ein Geraet noch nicht, wenn es per DHCP-Broadcast um > nach einer IP-Konfiguration fragt. Ach was, vermutlich hat der schon alles was er braucht (AKA fixed IP) aber die "Superautomatik" (ich bin mir ziemlich sicher dass es ein MS-System ist) fragt dennoch sinnlos in der Gegend nach einer IP. > Allerdings wundert es mich wirklich _sehr_, dass solche Anfragen an > Deinem "outbound-Interface" auftreffen. Mich nicht, schließlich betreue ich (armer) auch einen Windows 2003 Server. Der kommt nach einer Defaultinstallation auch so hoch, dass auf *allen* gefundenen Interfaces Netbios, DHCP-Suche (und weiß der Geier was sonst noch für'n Kram) gebunden wird. > Kannst Du _wirklich_ ausschliessen, dass _keine_ Anfragen von innen > ueber dieses Interface eintreffen? Ja, das kann ich ausschließen. Im Ethereal-Mitschnitt der Outbound-Karte findet sich: [Option 12: Host Name = "Businesspark-XYZ"] -- Ich betreibe keinen solchen Rechner ;-) >> Im Serverraum sind aber neben unseren Rechnern >> andere Geräte am Werkeln (und einer davon sucht verzweifelt - und >> sinnlos - nach IPs). > > Wenn Du den Betreiber der Maschine ermitteln (und ein wenig aergern) > willst, koenntest Du auf Deiner Kiste ja mal einen DHCP-Server > einrichten, der fuer diese MAC-Adresse eine nicht routbare IP-Adresse > herausgibt. ;-) Nana, man ist ja kein Unhold und hat schließlich ein Herz! Jedenfalls kann ich nun (siehe oben) meinem Provider mit Fakten, Fakten, Fakten ... kommen. Und wie schon im Startposting gesagt: wirklich störend ist es eigentlich nicht, nur ein wenig lästig. Gute Nacht allerseits, Peter -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables und kernel logging
Hallo Peter, Peter Velan, 22.06.2006 (d.m.y): > >> Ich glaube nicht, dass die DHCP-Anfragen aus dem Internet kommen. > >> > > Das glaube Ich ebenfalls Nicht, denn der ISP wird doch generelle > > broadcasts nicht weitergeben > > Wie man es halt sieht: für mich beginnt das Internet dort, wo ich eine > routbare fixe IP habe. Und ebendie hat ein Geraet noch nicht, wenn es per DHCP-Broadcast um nach einer IP-Konfiguration fragt. Allerdings wundert es mich wirklich _sehr_, dass solche Anfragen an Deinem "outbound-Interface" auftreffen. Kannst Du _wirklich_ ausschliessen, dass _keine_ Anfragen von innen ueber dieses Interface eintreffen? > Im Serverraum sind aber neben unseren Rechnern > andere Geräte am Werkeln (und einer davon sucht verzweifelt - und > sinnlos - nach IPs). Wenn Du den Betreiber der Maschine ermitteln (und ein wenig aergern) willst, koenntest Du auf Deiner Kiste ja mal einen DHCP-Server einrichten, der fuer diese MAC-Adresse eine nicht routbare IP-Adresse herausgibt. ;-) Gruss, Christian Schmidt -- Der Tag, an dem Karl Klammer fähig ist, die Syntax von DNS-Hosts zu validieren, ist der Tag, an dem die Welt untergeht. -- Alexander Reelsen signature.asc Description: Digital signature
Re: iptables und kernel logging
am 2006-06-22 17:58 schrieb Heinreichsberger, Helmut: > Hallo Peter, > > In einem anderen Forum hat einer das Problem, dass ein PC eine DHCP > Adresse haben will, obwohl alles manuell konfiguriert ist. > > http://www.wcm.at/forum/showthread.php?threadid=195181 > > Dies Fehlsituation kann in der Statusleiste erkannt werden. > Eventuell liegt hier das gleiche Problem an, nur dass die Anfragen > erkannt wurden. > > >> From: Christian Schmidt > [...] >> >> Hallo Peter, >> >> Peter Velan, 22.06.2006 (d.m.y): >> >> > am 2006-06-22 16:36 schrieb Ulf Volmer: >> > > On Thu, Jun 22, 2006 at 11:48:59AM +0200, Peter Velan wrote: >> > > > [...] >> Ich glaube nicht, dass die DHCP-Anfragen aus dem Internet kommen. >> > Das glaube Ich ebenfalls Nicht, denn der ISP wird doch generelle > broadcasts nicht weitergeben Wie man es halt sieht: für mich beginnt das Internet dort, wo ich eine routbare fixe IP habe. Im Serverraum sind aber neben unseren Rechnern andere Geräte am Werkeln (und einer davon sucht verzweifelt - und sinnlos - nach IPs). Dass die DHCP-Calls wirklich raus in die "Wildnis" geroutet werden, bezweifle ich nach dem hier im Thread gesagten inzwischen auch. Ich verstehe viel zu wenig über die ganze Routerei in einem Serverraum, finde es aber seltsam, dass an mein Tor mit fixer Internet-routbarer IP DHCP-Calls anklopfen. Die haben dort doch nichts verloren, oder? Ist doch schon alles fix vergeben, die Strippen sind gezogen. Und das über die MS-Ports 137, 138, 139, 445 viel sinnloser Kram auch im Internet herumschwirrt ist doch Fakt, oder? Danke für die vielen Hinweise, habe wieder viel gelernt, Peter -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
RE: iptables und kernel logging
Hallo Peter, In einem anderen Forum hat einer das Problem, dass ein PC eine DHCP Adresse haben will, obwohl alles manuell konfiguriert ist. http://www.wcm.at/forum/showthread.php?threadid=195181 Dies Fehlsituation kann in der Statusleiste erkannt werden. Eventuell liegt hier das gleiche Problem an, nur dass die Anfragen erkannt wurden. > From: Christian Schmidt [...] > > Hallo Peter, > > Peter Velan, 22.06.2006 (d.m.y): > > > am 2006-06-22 16:36 schrieb Ulf Volmer: > > > On Thu, Jun 22, 2006 at 11:48:59AM +0200, Peter Velan wrote: > > > [...] > Ich glaube nicht, dass die DHCP-Anfragen aus dem Internet kommen. > Das glaube Ich ebenfalls Nicht, denn der ISP wird doch generelle broadcasts nicht weitergeben > Gruss, > Christian Schmidt [...] Gruss aus Wien Helmut Heinreichsberger
Re: iptables und kernel logging
Hallo Peter, Peter Velan, 22.06.2006 (d.m.y): > am 2006-06-22 16:36 schrieb Ulf Volmer: > > On Thu, Jun 22, 2006 at 11:48:59AM +0200, Peter Velan wrote: > > > >> Gibt es eine Möglichkeit dem Knilch auf die Schliche zu kommen, also > >> quasi irgendwas das MAC -> IP auflöst? > > > > Da er ja brav fragt, was spricht dagegen, ihm einfach eine passende IP > > zu verpassen? > > Ääh, Ein 212.114.84.??? brüllt rum, dass er 'ne IP will Nein. Rumbruellen tut allenfalls ein Rechner mit der _MAC-Adresse_ seiner Netzwerkkarte. > und ich > (212.114.84.46) soll ihm eine geben? Er hat doch schon einen öffentliche > IP (sonst würde er mich mit seinem Gelabber ja nicht erreichen). DHCP > macht doch im Internet keinen Sinn, oder versteh ich das falsch? Ich glaube nicht, dass die DHCP-Anfragen aus dem Internet kommen. Gruss, Christian Schmidt -- Die höchsten Kilometerkosten von allen Wagentypen hat immer noch ein Einkaufswagen im Supermarkt. -- Lothar Schmidt signature.asc Description: Digital signature
Re: iptables und kernel logging
am 2006-06-22 16:36 schrieb Ulf Volmer: > On Thu, Jun 22, 2006 at 11:48:59AM +0200, Peter Velan wrote: > >> Gibt es eine Möglichkeit dem Knilch auf die Schliche zu kommen, also >> quasi irgendwas das MAC -> IP auflöst? > > Da er ja brav fragt, was spricht dagegen, ihm einfach eine passende IP > zu verpassen? Ääh, Ein 212.114.84.??? brüllt rum, dass er 'ne IP will und ich (212.114.84.46) soll ihm eine geben? Er hat doch schon einen öffentliche IP (sonst würde er mich mit seinem Gelabber ja nicht erreichen). DHCP macht doch im Internet keinen Sinn, oder versteh ich das falsch? Gruß, Peter PS: Sorry Ulf (sollte usrprünglich gleich auf die Liste gehen). -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables und kernel logging
Dirk Salva wrote: > On Thu, Jun 22, 2006 at 12:08:56PM +0200, Richard Mittendorfer wrote: >> Also sprach Peter Velan <[EMAIL PROTECTED]> (Thu, 22 Jun 2006 11:48:59 >> +0200): >> > >>> Jun 20 05:42:17 ubx kernel: [4512963.131000] drop eth1: IN=eth1 >> > >OUT= >> MAC=ff:ff:ff:ff:ff:ff:00:20:6f:11:0c:e8:08:00 SRC=0.0.0.0 >> ^ >> > >>> DST=255.255.255.255 LEN=328 TOS=0x00 PREC=0x00 TTL=60 ID=51016 >> > >PROTO=UDP >> SPT=68 DPT=67 LEN=308 >> > >>> [...] >> > Gibt es eine Möglichkeit dem Knilch auf die Schliche zu kommen, also >> > quasi irgendwas das MAC -> IP auflöst? >> Das ist die MAC der sendenden Karte. > > Ich bin offensichtlich zu doof dazu, bei mir kommt in beiden > Eingabefeldern von http://standards.ieee.org/regauth/oui/index.shtml > nur, daß die (MAC-)Adresse nicht bekannt ist. Du darfst natürlich nur 00-20-6f eingeben, dann funtioniert es ;-) Gruss Reinhold -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables und kernel logging
On Thu, Jun 22, 2006 at 11:48:59AM +0200, Peter Velan wrote: > Gibt es eine Möglichkeit dem Knilch auf die Schliche zu kommen, also > quasi irgendwas das MAC -> IP auflöst? Da er ja brav fragt, was spricht dagegen, ihm einfach eine passende IP zu verpassen? cu ulf -- Ulf Volmer [EMAIL PROTECTED] www.u-v.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables und kernel logging
Also sprach Dirk Salva <[EMAIL PROTECTED]> (Thu, 22 Jun 2006 15:39:25 +0200): > On Thu, Jun 22, 2006 at 12:08:56PM +0200, Richard Mittendorfer wrote: > > Also sprach Peter Velan <[EMAIL PROTECTED]> (Thu, 22 Jun 2006 11:48:59 > > +0200): > > > >>> Jun 20 05:42:17 ubx kernel: [4512963.131000] drop eth1: IN=eth1 > > > >OUT= >> MAC=ff:ff:ff:ff:ff:ff:00:20:6f:11:0c:e8:08:00 SRC=0.0.0.0 > > ^ > > [...] > > Das ist die MAC der sendenden Karte. > > Ich bin offensichtlich zu doof dazu, bei mir kommt in beiden > Eingabefeldern von http://standards.ieee.org/regauth/oui/index.shtml > nur, daß die (MAC-)Adresse nicht bekannt ist. "00-20-6f" ergibt: 00-20-6F (hex)FLOWPOINT CORPORATION 00206F (base 16)FLOWPOINT CORPORATION 7291 CORONADO DRIVE, STE# 4 SAN JOSE CA 95129 UNITED STATES Die hinteren Ziffern hast du aber schon weggelassen? Nur die ersten drei Felder spezifizieren den Hersteller, die Anderen die Karte/Serie. > ciao, Dirk sl ritch
