[PUG] IPTABLES
Hallo, in einen gewissen Turnus sind es doch immer wieder ähnliche Probleme. Ich habe nun mein Gentoo auf den 2.6er Kernel gebracht. Das Zeug für IP-Tables habe ich nicht mehr als Module laufen sondern gleich fest eingebunden. Ich habe dabei einfach die Standartkonfiguration übernommen. Hat einfach gut ausgesehen :-) Nun, mein IP-Tables Skript. Das hab ich von der PUG und ich glaube das verwenden viele hier, läuft auch halbwegs schön durch und tut auch was, wie das Listing unten zeigt. Eine Regel wird mit 'Invalid Argument' quittiert. Welche hab ich noch nicht herausgefunden. Ich glaube das war bei mir früher auch schon so. 'echo 1 > /proc/sys/net/ipv4/ip_forward' ist auch drin. Dennoch fehlt mir was, damit die Kiste routet. :-( Fällt Euch da was auf? Gibt es grundlegende Änderungen beim 2.6er Kernel diesbezüglich? Gruß Ernst /home/ernst: iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination block all -- anywhere anywhere Chain FORWARD (policy ACCEPT) target prot opt source destination block all -- anywhere anywhere TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain block (2 references) target prot opt source destination ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT all -- localhost/24 anywhere state NEW ACCEPT all -- 192.168.0.0/24 anywhere state NEW ACCEPT all -- 10.0.0.0/24 anywhere state NEW ACCEPT tcp -- anywhere anywhere tcp dpt:auth flags:SYN,RST,ACK/SYN ACCEPT tcp -- anywhere anywhere tcp dpt:ssh flags:SYN,RST,ACK/SYN ACCEPT tcp -- anywhere anywhere tcp dpt:www flags:SYN,RST,ACK/SYN ACCEPT tcp -- anywhere anywhere tcp dpt:https flags:SYN,RST,ACK/SYN ACCEPT udp -- anywhere anywhere udp dpt:talk ACCEPT udp -- anywhere anywhere udp dpt:ntalk ACCEPT icmp -- anywhere anywhere LOGall -- 192.168.0.0/24 anywhere limit: avg 3/hour burst 5 LOG level warning prefix `Bad packet from LAN:' LOGall -- !192.168.0.0/24 anywhere limit: avg 3/hour burst 5 LOG level warning prefix `Bad packet from Internet:' LOGall -- !10.0.0.0/24 anywhere limit: avg 3/hour burst 5 LOG level warning prefix `Bad packet from Internet:' REJECT all -- anywhere anywhere reject-with icmp-port-unreachable Kurze Zusatzinfo: /home/ernst: uname -a Linux ernst 2.6.6 #6 Mon Jun 14 21:47:36 CEST 2004 i686 AMD Athlon(tm) processor AuthenticAMD GNU/Linux PUG - Penguin User Group Wiesbaden - http://www.pug.org
[PUG] iptables
hi, ich benutze dieses Script im Anhang, für die Firewall. Das Problem ist, das sie außer ihr eigentliches Netz 192.168.1.0 auch noch in 53.101.48.0 zu routen hat. Starte ich da Script, so passiert genau das was ich will, nach außen hin. Aber die Clients die im 53.101.48.0'er Netz können dann nicht mehr über diesen Router ins Internet, bzw, über den darauf laufenden Proxy Server. Sprich der Router ist aus dem internen Netz 53.101.48.0 nicht mehr erreichbar (nicht von uns eingerichtet worden, war nen Mercedes Werk) eth0 192.168.1.2 (intern) route -net > 53.101.48.0 gw 192.168.1.1 eth1 xxx.xxx.xxx (extern) gibt es da einen sinnvollen weg, dass das 53.101.48.0'er Netz auch noch läuft, wenn ich das Script starte? Welche Regeln wären sinnvoll, ohne es doppelt fürhren zu müssen... -- Denny Schierz <[EMAIL PROTECTED]> #!/bin/sh #Iptable firewall v0.82 #updated 09/24/01 #Define some constants echo "Seting up firewall." LOCALNETWORK="192.168.1.0/255.255.255.0" INTINT="eth0" #The internal interface EXTINT="eth1" #The external interface #INTIP="192.168.1.1" #The internal interface address - Not used #DHCPSERVER="208.191.175.254/32" #DHCPSERVER2="192.168.100.6/32" SQUID="192.168.1.2:3128" # User should not have to change anything below here LOOPBACK="127.0.0.0/8" CLASS_A="10.0.0.0/8" CLASS_B="172.16.0.0/12" CLASS_C="192.168.0.0/16" MULTICAST="224.0.0.0/4" CLASS_E="240.0.0.0/5" ANYWHERE="any/0" BROADCAST_SRC="0.0.0.0/32" BROADCAST_DEST="255.255.255.255/32" PRIVPORTS="0:1023" #You can change the local unprivileged port range #with: net.ipv4.ip_local_port_range = 32768 61000 #for example PUBLICPORTS="1024:65535" NFS_PORT="2049" SOCKS_PORT="1080" XWINDOW_PORTS="6000:6023" # traceroute usually uses -S 32769:65535 -D 33434:33523 TRACEROUTE_SRC_PORTS="32769:65535" TRACEROUTE_DEST_PORTS="33434:33523" #= # Non iptables stuff #= # TCP syncookie protection if [ -e /proc/sys/net/ipv4/tcp_syncookies ]; then echo -n "Enabling TCP syncookie protection..." echo 1 > /proc/sys/net/ipv4/tcp_syncookies echo "done." else echo "Problem enabling TCP syncookie protection. Be worried." fi # Disable source routed packets if [ -e /proc/sys/net/ipv4/conf/all/accept_source_route ]; then echo -n "Disabling source routed packets" for f in /proc/sys/net/ipv4/conf/*/accept_source_route; do echo 0 > $f done echo "done." else echo "Problems disabling source routed packets, be worried." fi # Disable ICMP Redirect Acceptance if [ -e /proc/sys/net/ipv4/conf/all/accept_redirects ]; then echo -n "Disabling ICMP Redirect Acceptance..." for f in /proc/sys/net/ipv4/conf/*/accept_redirects; do echo 0 > $f done echo "done." else echo "Problems disabling ICMP Redirect Acceptance, be worried." fi # Turn on IP Spoof protection by using IP Source Address Verification # This is from the IPChains-HOWTO, but it works for iptables too. if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]; then echo -n "Setting up IP spoofing protection..." for f in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 1 > $f done echo "done." else echo PROBLEMS SETTING UP IP SPOOFING PROTECTION. BE WORRIED. fi # Don't respond to broadcast pings. if [ -e /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts ]; then echo -n "Stopping broacast pings..." echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts echo "done." else echo "Problem stopping broadcast pings. Be worried." fi # Activate the forwarding! if [ -e /proc/sys/net/ipv4/ip_forward ]; then echo -n "Turning on forwarding..." echo 1 >/proc/sys/net/ipv4/ip_forward echo "done." else echo "Forwarding not turned on! Be worried." fi # Enable bad error message protection if [ -e /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses ] ; then echo -n "Turning on bad error message protection..." echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses echo "done." else echo "Problem turing on bad error message protection. Be worried." fi # Insert the required kernel modules # Note if iptables is compiled in, this will # generate error messages. These can be safely # ignored. #modprobe iptable_nat #modprobe ip_conntrack #modprobe ip_conntrack_ftp #= # Flush the old rules and set default policies #= echo "Setting defaults" /sbin/iptables -F /sbin/iptables -t nat -F /sbin/iptables -P INPUT DROP /sbin/iptables -P OUTPUT REJECT /sbin/iptables -P FORWARD DROP /sbin/iptables -t nat -P POSTROUTING ACCEPT /sbin/iptables -t nat -P PREROUTING ACCEPT /sbin/iptables -t nat -P OUTPUT ACCEPT #= # Filter rules #= # Filter out some troublesome things I would drop anyway #/sbin/iptables -t nat -A PREROUTING -i ppp+ \ # -s 192.168.0.2 -j DROP #Test transparent proxying # Uncomment if you want to
[PUG] iptables Logfile
Mahlzeit ! Ich hab ne firewall mit iptables aufgesetzt die gedroppten Packete logt. Dieses log hätte ich gerne in nem eigenen Logfile ( also nicht in /var/log/messages ). Meine idee war in der /etc/syslog.conf einen Entsprechenden Eintrag zu machen. Die Frage ist nun was ich da reinschreibe, in der /usr/include/sys/syslog.h hab ich nichts gefunden. -- Kein Mann sollte ein Geheimnis vor seiner Frau haben. - Sie wird es in jedem Falle herausfinden. -- Oscar Wilde --- PUG - Penguin User Group Wiesbaden - http://www.pug.org
[PUG] iptables test
Guten Tag talk, ich habe gerade damit angefangen, mich mit iptables zu beschäftigen. Dazu habe ich mir einen Linux Debian genommen mit Kernel 2.4.6 und 2 NIC's eth0 $DEV_LOC und eth1 $DEV_EXT . Da dies nur eine Testumgebung ist, lasse ich beide Anschlüsse an einen HUB gehen, der wiederrum ist an einem Switch. Das Internet erreicht er über einen Linux Router der am Swtitch hängt (als Standartgateway eingetragen unter eth1). Meine Frage daher, geht das überhaupt an einem HUB, beide NIC's? Denn aus einer Linux Zeitschrift, hab ich mir die ersten Regeln herraus geschrieben und sie getestet. Nur leider funzt das nicht, nicht einmal ein Ping geht. Ich vermute es hängt mit dem HUB zusammen. eth0: 192.168.10.1 eth0: 192.168.100.233 gateway 192.168.100.253 Hier das ich bisher eingetippt habe: - #!/bin/sh # Some General Settings # path to iptabl IPTABLES=/sbin/iptables # what are the internel and external device DEV_LOC=eth0 DEV_EXT=eth1 # Don't allow what isn't allowed # P = Target $IPTABLES -P INPUT DROP $IPTABLES -P OUTPUT DROP $IPTABLES -P FORWARD DROP # Kill all Temp-Rules # F = Flush; t = table; X = delete Chain $IPTABLES -F $IPTABLES -t nat -F $IPTABLES -X # allow io interface, we need it for bind etc. # A = Append to chain; j = Target for rule; i = interface; o = output interface $IPTABLES -A OUTPUT -o lo -j ACCEPT $IPTABLES -A INPUT -i lo -j ACCEPT # what to do with unknown packets, we drop it and log it :-) # N = new Chain p = proto $IPTABLES -N unknown $IPTABLES -A unknown -p TCP -j LOG --log-prefix "UNKNOWN:TCP" $IPTABLES -A unknown -p UDP -j LOG --log-prefix "UNKNOWN:UDP" $IPTABLES -A unknown -p ICMP -j LOG --log-prefix "UNKNOWN:ICMP" $IPTABLES -A unknown -p TCP -j DROP # prepare kernel for dynamic ip # das brauche ich nicht, da wir eine feste ip haben #echo "1" > /proc/net/ipv4/ip_dynaddr #echo "1" > /proc/net/ipv4/ip_forward # enable Masquerade $IPTABLES -t nat -A POSTROUTING -o $DEV_EXT -j MASQUERADE # let connections open if it from us $IPTABLES -A FORWARD -i $DEV_LOC -o $DEV_EXT -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A FORWARD -i $DEV_EXT -o $DEV_LOC -m state --state ESTABLISHED,RELATED -j ACCEPT # all other connections drop to unknown $IPTABLES -A FORWARD -i $DEV_EXT -o $DEV_LOC -m state --state NEW,INVALID -j unknown # ok, here some Services # we want ssh $IPTABLES -A INPUT -i $DEV_LOC -s 192.168.100.0/255.255.255.0 -p TCP --sport 1000:1023 --dport ssh -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A OUTPUT -o $DEV_LOC -d 192.168.100.0/255.255.255.0 -p TCP --dport 1000:1023 --sport ssh -m state --state ESTABLISHED,RELATED -j ACCEPT # we want aktive ftp # what for a port wants the server $IPTABLES -A FORWARD -o $DEV_EXT -p tcp --sport 1024:65535 --dport ftp -m state --state NEW -j ACCEPT # but some browser wants passive ftp $IPTABLES -A FORWARD -o $DEV_EXT -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state NEW -j ACCEPT # for ping we need this $IPTABLES -A FORWARD -o $DEV_EXT -p ICMP --icmp-type echo-request -j ACCEPT $IPTABLES -A FORWARD -o $DEV_LOC -p ICMP --icmp-type echo-request -j ACCEPT # All other unknown packets to the /dev/null ;) $IPTABLES -A INPUT -j unknown $IPTABLES -A OUTPUT -j unknown $IPTABLES -A FORWARD -j unknown Also, wenn ich das so durchlese, erscheint es mir logisch, das nix funzt. Nun, wie testet man dann seine Firewall richtig, ob ping etc funzt. Ach, wenn ich das Script starte, dann haut es mir sämtliche Meldungen auf den Screen, egal welche Konsole. Kann man das nicht umleiten? -- Mit freundlichen Grüssen Denny-Schierz mailto:[EMAIL PROTECTED] PUG - Penguin User Group Wiesbaden - http://www.pug.org
[PUG] iptables CLUSTERIP
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Hallo erstmal, bin mal wieder ein wenig am experimentieren, diesmal angeregt durch diesen: http://flaviostechnotalk.com/wordpress/index.php/2005/06/12/loadbalancer-less-clusters-on-linux/ Artikel habe ich mir zwei ausgediente Maschinen geschnappt ein abgespecktes SuSE 10 drauf installiert und das ganze einmal ausprobiert. Soweit sieht das ganze auch schon recht gut aus, unter /proc wird auch die entsprechende Datei auf den Nodes angelegt. Allerdings stoße ich auf genau den selben Fehler wie viele anderen die einen Kommentar hinterlassen haben, die Dokumentation von CLUSTERIP ist ebenfalls mehr als dürftig. Keiner der Nodes antwortet auf den ARP Request, ich habe also mal angefangen alle möglichen und unmöglichen Kombinationen auszuprobieren. Beide Nodes mit gleicher IP und gleicher MAC >> kein Erfolg, jeder Node mit eigener MAC und seiner eigenen IP + Cluster IP am gleichen Interface >> kein Erfolg, beide Nodes mit gleicher MAC unterschiedlichen IP sowie der Cluster IP >> kein Erfolg. In allen Fällen scheitert es bereits am ARP Request bzw. im zuletzt genannten Fall gibt keiner der Nodes eine Antwort auf die Anfrage des Clients. Hat von euch schon einmal jemand eine solche Konfiguration erfolgreich aufgesetzt, oder eine Idee wie das Funktionieren könnte/soll? Eventuell kann mir ja auch einer mal eben schnell eine Kerze reichen damit ich ein wenig Licht in das Dunkel hier bringen kann. :-) Gruß Thorsten -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.3 (MingW32) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFE4dlNUu/IL/BsO/URAl9gAJsHmu9FAaPIEAj8ODEgJiqyg+hdzQCeIGtk WUFjVswrljfgF5uyOPH9DW4= =R0Dl -END PGP SIGNATURE- -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] IPTABLES
Hier ist die Regel, die Ärger macht: /home/ernst: iptables -t nat -A POSTROUTING -o $external_if -j MASQUERADE Warning: wierd character in interface `-j' (No aliases, :, ! or *). Bad argument `MASQUERADE' -j weglassen ist nicht die Lösung. Aber mit dem Masquarading hat es sicherlich was zu tun. Gruß Ernst PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] IPTABLES
* Ernst May-Jung schrieb/wrote: /home/ernst: iptables -t nat -A POSTROUTING -o $external_if -j MASQUERADE Warning: wierd character in interface `-j' (No aliases, :, ! or *). Bad argument `MASQUERADE' Da ist $external_if leer. Was denn sonst? -martin -- +-++ | Martin Schmitt | Schmitt Systemberatung | | http://www.scsy.de/~mas | http://www.scsy.de | +-++ signature.asc Description: OpenPGP digital signature
Re: [PUG] IPTABLES
On Wednesday 16 June 2004 15:58, Martin Schmitt wrote: > * Ernst May-Jung schrieb/wrote: > > /home/ernst: iptables -t nat -A POSTROUTING -o $external_if -j MASQUERADE > > Warning: wierd character in interface `-j' (No aliases, :, ! or *). > > Bad argument `MASQUERADE' > > Da ist $external_if leer. Was denn sonst? > > -martin Stimmt, jetzt hab ich auch wieder die gleiche Fehlermeldung wie im Skript: /home/ernst: iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE iptables: Invalid argument Ernst PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] IPTABLES
Hast Du auch das Modul ipt_MASQUERADE geladen/compiliert ? Ernst May-Jung wrote: >/home/ernst: iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE >iptables: Invalid argument > > PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] IPTABLES
On Wednesday 16 June 2004 17:39, Christian Felsing wrote: > Hast Du auch das Modul > ipt_MASQUERADE > geladen/compiliert ? > > Ernst May-Jung wrote: > >/home/ernst: iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE > >iptables: Invalid argument > > --- >- PUG - Penguin User Group Wiesbaden - http://www.pug.org Ich hab zu dem Thema nicht viel gefunden: /usr/src/linux: cat .config | grep MASQUERADE CONFIG_IP_NF_TARGET_MASQUERADE=y Das dumme ist, das die Abkürzungen nicht dem Überschrifen entsprechen. Wenn ich mir allerdings die Ausgabe oben anschaue, gibt es gar nicht mehr zu finden!?? Wo ist die Option hin? Ernst PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] IPTABLES
Hallo, bin hier langsam am Aufgeben, weil ich keine Ahnung habe wo ich ansetzten soll. Normalerweise sollte es halt einfach laufen oder brauchbare Fehlermeldungen werfen. Jetzt tendiere ich zu der feigen Lösung mir einen Router zu kaufen D-link oder so. Wie läuft es dann mit meinem dyndns? Macht der Router das Update? Oder läuft dyndns dann noch problemlos als Cron-Job? ip-up wird ja nicht mehr angestoße. Gruß Ernst PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] IPTABLES
am 22.06.2004 17:10 schrieb Ernst May-Jung: Jetzt tendiere ich zu der feigen Lösung mir einen Router zu kaufen D-link oder so. Warum nicht nen IPCop? Nen Rechner scheinst Du ja ohnehin für den Router-Job vorgesehen/zur Verfügung zu haben, oder lieg ich da falsch? Bin mit Chris' Empfehlung in dieser Richtung sehr glücklich. Alten Aptiva genommen, vier Netzwerkkarten reingepfriemelt, kurz gebetet dass sich bei den randvollen PCI-Slots IRQ-mäßig nix beißt, IPCop installiert, konfiguriert und jetzt ne Uptime die nur um Stunden unter dem IPCop-Tip hier auf der ML liegt ;-) Viele Grüße Tim PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] IPTABLES
On Tuesday 22 June 2004 17:28, Tim Kaufmann wrote: > am 22.06.2004 17:10 schrieb Ernst May-Jung: > > Jetzt tendiere ich zu der feigen Lösung mir einen Router zu kaufen D-link > > oder so. > > Warum nicht nen IPCop? Nen Rechner scheinst Du ja ohnehin für den > Router-Job vorgesehen/zur Verfügung zu haben, oder lieg ich da falsch? Ist eigentlich ein guter Tipp. Problem irgendwas mit meinen iptables läuft nicht. Ich glaube nicht, dass es an meinem Skript liegt, das verwende ich schon seit 2 Jahren. Also hab ich mit IPCop nur mäßige Chancen. Vielleicht schaut noch mal jemand von Euch in diesen Thread und hat eine Idee, das Problem einzukreisen. Gruß Ernst PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] IPTABLES
On Tue, Jun 22, 2004 at 05:10:19PM +0200, Ernst May-Jung wrote: > Hallo, > > bin hier langsam am Aufgeben, weil ich keine Ahnung habe wo ich ansetzten > soll. Normalerweise sollte es halt einfach laufen oder brauchbare > Fehlermeldungen werfen. > > Jetzt tendiere ich zu der feigen Lösung mir einen Router zu kaufen D-link oder > so. > > Wie läuft es dann mit meinem dyndns? > Macht der Router das Update? > Oder läuft dyndns dann noch problemlos als Cron-Job? > ip-up wird ja nicht mehr angestoße. > > Gruß > Ernst > > > > PUG - Penguin User Group Wiesbaden - http://www.pug.org hallo Ernst, bitte schick mir mal iptables-save > active_config an mich oder in die ML -- o.o 'v' / \ It's your choice - i use LINUX ~ ~ PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] IPTABLES
On Wednesday 23 June 2004 08:42, Christopher Ruehl wrote: > hallo Ernst, > bitte schick mir mal > iptables-save > active_config > an mich oder in die ML Hallo Christopher, der Output ist kurz genug für die Mailing-Liste: -- /home/ernst: cat active_config # Generated by iptables-save v1.2.8 on Wed Jun 23 11:15:48 2004 *nat :PREROUTING ACCEPT [9915:662498] :POSTROUTING ACCEPT [2150:163200] :OUTPUT ACCEPT [0:0] COMMIT # Completed on Wed Jun 23 11:15:48 2004 # Generated by iptables-save v1.2.8 on Wed Jun 23 11:15:48 2004 *mangle :PREROUTING ACCEPT [90297:49519037] :INPUT ACCEPT [86437:49167137] :FORWARD ACCEPT [878:61628] :OUTPUT ACCEPT [76520:13006627] :POSTROUTING ACCEPT [77342:13081681] COMMIT # Completed on Wed Jun 23 11:15:48 2004 # Generated by iptables-save v1.2.8 on Wed Jun 23 11:15:48 2004 *filter :INPUT ACCEPT [170:15181] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [76520:13006627] :block - [0:0] -A INPUT -j block -A FORWARD -j block -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu -A block -m state --state RELATED,ESTABLISHED -j ACCEPT -A block -s 127.0.0.0/255.255.255.0 -m state --state NEW -j ACCEPT -A block -s 192.168.0.0/255.255.255.0 -m state --state NEW -j ACCEPT -A block -s 10.0.0.0/255.255.255.0 -m state --state NEW -j ACCEPT -A block -p tcp -m tcp --dport 113 --tcp-flags SYN,RST,ACK SYN -j ACCEPT -A block -p tcp -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -j ACCEPT -A block -p tcp -m tcp --dport 80 --tcp-flags SYN,RST,ACK SYN -j ACCEPT -A block -p tcp -m tcp --dport 443 --tcp-flags SYN,RST,ACK SYN -j ACCEPT -A block -p udp -m udp --dport 517 -j ACCEPT -A block -p udp -m udp --dport 518 -j ACCEPT -A block -p icmp -j ACCEPT -A block -s 192.168.0.0/255.255.255.0 -m limit --limit 3/hour -j LOG --log-prefix "Bad packet from LAN:" -A block -s ! 192.168.0.0/255.255.255.0 -m limit --limit 3/hour -j LOG --log-prefix "Bad packet from Internet:" -A block -s ! 10.0.0.0/255.255.255.0 -m limit --limit 3/hour -j LOG --log-prefix "Bad packet from Internet:" -A block -j REJECT --reject-with icmp-port-unreachable COMMIT # Completed on Wed Jun 23 11:15:48 2004 -- Wie gesagt, das Ding läuft nicht mehr als Router/Gateway. Seit update auf 2.6 Ich hab auch den berühmten Schalter an: /proc/sys/net/ipv4: cat ip_forward 1 Gruß Ernst PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] IPTABLES
Ernst May-Jung wrote: On Wednesday 23 June 2004 08:42, Christopher Ruehl wrote: hallo Ernst, bitte schick mir mal iptables-save > active_config an mich oder in die ML Hallo Christopher, der Output ist kurz genug für die Mailing-Liste: -- /home/ernst: cat active_config # Generated by iptables-save v1.2.8 on Wed Jun 23 11:15:48 2004 *nat :PREROUTING ACCEPT [9915:662498] :POSTROUTING ACCEPT [2150:163200] :OUTPUT ACCEPT [0:0] hier fehlt ein -A POSTROUTING -o eth1 -j MASQUERADE bei netzwerkrouter eth1=extern eth0 intern oder -A POSTROUTING -o ppp0 -j MASQUERADE bei eth0 intern ppp0 (pppoe interface bei dsl) schreib die zeile mal in dein iptables-save > output und iptables-restore < output dann kontrolliere nochmal die iptables-save COMMIT # Completed on Wed Jun 23 11:15:48 2004 # Generated by iptables-save v1.2.8 on Wed Jun 23 11:15:48 2004 *mangle :PREROUTING ACCEPT [90297:49519037] :INPUT ACCEPT [86437:49167137] :FORWARD ACCEPT [878:61628] :OUTPUT ACCEPT [76520:13006627] :POSTROUTING ACCEPT [77342:13081681] COMMIT # Completed on Wed Jun 23 11:15:48 2004 # Generated by iptables-save v1.2.8 on Wed Jun 23 11:15:48 2004 *filter :INPUT ACCEPT [170:15181] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [76520:13006627] :block - [0:0] -A INPUT -j block -A FORWARD -j block -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu -A block -m state --state RELATED,ESTABLISHED -j ACCEPT -A block -s 127.0.0.0/255.255.255.0 -m state --state NEW -j ACCEPT -A block -s 192.168.0.0/255.255.255.0 -m state --state NEW -j ACCEPT -A block -s 10.0.0.0/255.255.255.0 -m state --state NEW -j ACCEPT -A block -p tcp -m tcp --dport 113 --tcp-flags SYN,RST,ACK SYN -j ACCEPT -A block -p tcp -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -j ACCEPT -A block -p tcp -m tcp --dport 80 --tcp-flags SYN,RST,ACK SYN -j ACCEPT -A block -p tcp -m tcp --dport 443 --tcp-flags SYN,RST,ACK SYN -j ACCEPT -A block -p udp -m udp --dport 517 -j ACCEPT -A block -p udp -m udp --dport 518 -j ACCEPT -A block -p icmp -j ACCEPT -A block -s 192.168.0.0/255.255.255.0 -m limit --limit 3/hour -j LOG --log-prefix "Bad packet from LAN:" -A block -s ! 192.168.0.0/255.255.255.0 -m limit --limit 3/hour -j LOG --log-prefix "Bad packet from Internet:" -A block -s ! 10.0.0.0/255.255.255.0 -m limit --limit 3/hour -j LOG --log-prefix "Bad packet from Internet:" -A block -j REJECT --reject-with icmp-port-unreachable COMMIT # Completed on Wed Jun 23 11:15:48 2004 -- Wie gesagt, das Ding läuft nicht mehr als Router/Gateway. Seit update auf 2.6 Ich hab auch den berühmten Schalter an: /proc/sys/net/ipv4: cat ip_forward 1 Gruß Ernst PUG - Penguin User Group Wiesbaden - http://www.pug.org PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] IPTABLES
ALARM: deine default Policies stehen auf ACCEPT *filter :INPUT ACCEPT [170:15181] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [76520:13006627] die müssen! :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] kommando: iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP -A block -s 192.168.0.0/255.255.255.0 -m state --state NEW -j ACCEPT -A block -s 10.0.0.0/255.255.255.0 -m state --state NEW -j ACCEPT das heist auch : du kannst nur von 192.168.0.x und 10.0.0.x aus kommunizieren sind das deine Netze intern ? -A block -p tcp -m tcp --dport 113 --tcp-flags SYN,RST,ACK SYN -j ACCEPT besser : -A block -i ppp0 -p tcp -m tcp --dport 113 -j REJECT --reject-with icmp-port-unreachable damit funktioniert dein Mailsenden schnell aber keiner bekommt info über dein System. -A block -j REJECT --reject-with icmp-port-unreachable besser -A block -j DROP nicht den Port-Scanner helfen! - die sollen gefälligst auf Timeouts warten !! :-) Ausserdem würde ich dir empfehlen die externen und interenen Interfaces über eine eigene Chain zu behandeln - damit spürst du Fehler besser auf: z.B. -A INPUT -i lo -j ACCEPT -A INPUT -i eth0 -j INTERN -A INPUT -i ppp0 -j EXTERN # regeln für extern -A EXTERN ... # regel intern -A INTERN -s 192.x.x.x -d ! 192.x.x.x -j ACCEPT PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] IPTABLES
On Wednesday 23 June 2004 16:31, Chris Ruehl wrote: > hier fehlt ein > > -A POSTROUTING -o eth1 -j MASQUERADE > > bei netzwerkrouter eth1=extern eth0 intern > oder > > > -A POSTROUTING -o ppp0 -j MASQUERADE > bei eth0 intern ppp0 (pppoe interface bei dsl) > > schreib die zeile mal in dein > iptables-save > output > und > iptables-restore < output Daran liegt es wohl. Leider werden diese Zeilen nicht angenommen. Ich hab Dir mal meine Kernelkonfiguration gesendet. Gruß Ernst PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] IPTABLES
Ernst May-Jung wrote: On Wednesday 23 June 2004 16:31, Chris Ruehl wrote: hier fehlt ein -A POSTROUTING -o eth1 -j MASQUERADE bei netzwerkrouter eth1=extern eth0 intern oder -A POSTROUTING -o ppp0 -j MASQUERADE bei eth0 intern ppp0 (pppoe interface bei dsl) schreib die zeile mal in dein iptables-save > output und iptables-restore < output Daran liegt es wohl. Leider werden diese Zeilen nicht angenommen. Ich hab Dir mal meine Kernelkonfiguration gesendet. Gruß Ernst PUG - Penguin User Group Wiesbaden - http://www.pug.org ja und ich sende dir hier mal eine ordendliche konfig die du dann mit iptables-save < xxx aktivierten solltest aber erst durch sehen ob die netzwerkadressen und interfaces stimmen.. # Generated by iptables-save *mangle :PREROUTING ACCEPT [0:0] :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] COMMIT # # POSTROUTING ANPASSEN INTERFACE ppp0 oder ppp0 *nat :PREROUTING ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A POSTROUTING -o ppp0 -j MASQUERADE COMMIT # # Generated by iptables-save *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] :INETIN - [0:0] :INETOUT - [0:0] :LD - [0:0] :LNETIN - [0:0] :LNETOUT - [0:0] -A INPUT -i lo -j ACCEPT -A INPUT -i ppp0 -j INETIN -A INPUT -i eth0 -j LNETIN -A FORWARD -i lo -j ACCEPT -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j LD -A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j LD -A FORWARD -i eth0 -j ACCEPT -A OUTPUT -o lo -j ACCEPT -A OUTPUT -o ppp0 -j INETOUT -A OUTPUT -o eth0 -j LNETOUT -A INETIN -m state --state RELATED,ESTABLISHED -j ACCEPT -A INETIN -s 192.168.0.0/255.255.255.0 -i ppp0 -j LD -A INETIN -d 192.168.0.0/255.255.255.0 -i ppp0 -j LD -A INETIN -s 10.0.0.0/255.255.255.0 -i ppp0 -j LD -A INETIN -d 10.0.0.0/255.255.255.0 -i ppp0 -j LD -A INETIN -p icmp -m icmp --icmp-type 8 -j LD -A INETIN -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j LD -A INETIN -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j LD -A INETIN -p tcp -m tcp ! --tcp-flags SYN,RST,ACK SYN -m state --state NEW -j LD -A INETIN -f -j LD -A INETIN -p tcp -m tcp --dport 113 -j REJECT --reject-with icmp-port-unreachable -A INETIN -p tcp -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -j ACCEPT -A INETIN -p tcp -m tcp --sport 53 -j ACCEPT -A INETIN -p udp -m udp --sport 53 -j ACCEPT -A INETIN -p tcp -m tcp --dport 80 --tcp-flags SYN,RST,ACK SYN -j ACCEPT -A INETIN -p tcp -m tcp --dport 443 --tcp-flags SYN,RST,ACK SYN -j ACCEPT -A INETIN -p udp -m udp --dport 517 -j ACCEPT -A INETIN -p udp -m udp --dport 518 -j ACCEPT -A INETIN -j LD -A INETOUT -j ACCEPT -A LD -j LOG --log-prefix "LOG AND DROP" --log-level 4 -A LD -j DROP -A LNETIN -m state --state RELATED,ESTABLISHED -j ACCEPT -A LNETIN -s ! 192.168.0.0/255.255.255.0 -j LD -A LNETIN -s ! 10.0.0.0/255.0.0.0 -j LD -A LNETIN -p icmp -j ACCEPT -A LNETIN -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j LD -A LNETIN -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j LD -A LNETIN -p tcp -m tcp ! --tcp-flags SYN,RST,ACK SYN -m state --state NEW -j LD -A LNETIN -p tcp -m tcp --dport 135:137 -j LD -A LNETIN -p tcp -m tcp --dport 445 -j LD -A LNETIN -f -j LD -A LNETIN -j ACCEPT -A LNETOUT -j ACCEPT COMMIT # Completed on Wed Jun 23 16:58:30 2004
Re: [PUG] IPTABLES
Ernst May-Jung wrote: On Wednesday 23 June 2004 16:31, Chris Ruehl wrote: hier fehlt ein -A POSTROUTING -o eth1 -j MASQUERADE bei netzwerkrouter eth1=extern eth0 intern oder -A POSTROUTING -o ppp0 -j MASQUERADE bei eth0 intern ppp0 (pppoe interface bei dsl) schreib die zeile mal in dein iptables-save > output und iptables-restore < output Daran liegt es wohl. Leider werden diese Zeilen nicht angenommen. Ich hab Dir mal meine Kernelkonfiguration gesendet. Gruß Ernst PUG - Penguin User Group Wiesbaden - http://www.pug.org kannst du mir die Fehlermeldung mal schrieben ? PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] IPTABLES
On Wednesday 23 June 2004 17:23, Chris Ruehl wrote: > ja und ich sende dir hier mal eine ordendliche konfig > die du dann mit iptables-save < xxx aktivierten solltest > aber erst durch sehen ob die netzwerkadressen und interfaces stimmen.. Ich hab das 10er Netz mal dringelassen. ppp0 stimmt. Meldung: /home/ernst: iptables-restore < bin/iptables iptables-restore: line 16 failed Zeile 15 ist wieder das MASQUARADing. Auskommentieren zeigt, dass sie gemeint ist. Hast Du mal in die Kernel-Config reingeschaut? Ich finde einfach nicht mehr zum Thema 'MASQUARADE' im Kernel, was ich aktivieren könnte. Gruß Ernst PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] IPTABLES
Ernst May-Jung wrote: On Wednesday 23 June 2004 17:23, Chris Ruehl wrote: ja und ich sende dir hier mal eine ordendliche konfig die du dann mit iptables-save < xxx aktivierten solltest aber erst durch sehen ob die netzwerkadressen und interfaces stimmen.. Ich hab das 10er Netz mal dringelassen. ppp0 stimmt. Meldung: /home/ernst: iptables-restore < bin/iptables iptables-restore: line 16 failed Zeile 15 ist wieder das MASQUARADing. Auskommentieren zeigt, dass sie gemeint ist. Hast Du mal in die Kernel-Config reingeschaut? Ich finde einfach nicht mehr zum Thema 'MASQUARADE' im Kernel, was ich aktivieren könnte. Gruß Ernst PUG - Penguin User Group Wiesbaden - http://www.pug.org schade .. die private mail haste bekommen ? (alle IP-NET Kernelfeatures als Module zu compilieren) leider bin ich gestern um 18:00 zu einem Date verschwunden und konnte nicht mehr weiter lesen, - welche Kernelversion ? (uname -a) welche modules-init-tools Version (modprobe -V) wenn du das iptables-restore gemacht hast gibt bitte noch mal den Befehl iptables -A POSTROUTING -o ppp0 -j MASQUERADE ein und poste mal die genaue Fehlermeldung. -cr PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] IPTABLES
On Thursday 24 June 2004 08:45, Chris Ruehl wrote: > schade .. > die private mail haste bekommen ? (alle IP-NET Kernelfeatures als Module > zu compilieren) Nein, es ist keine private Mail bei mir angekommen. Vermutlich in irgendeinem Spam-Filter versackt. :-( Das mit dem Compilieren als Module werd ich mal ausprobieren. Komisch: Die Fehlermeldung unten läßt nicht gerade darauf schließen, dass MASQUERADE fehlt. > leider bin ich gestern um 18:00 zu einem Date verschwunden und konnte > nicht mehr > weiter lesen, - > welche Kernelversion ? (uname -a) > welche modules-init-tools Version (modprobe -V) > /home/ernst: uname -a Linux ernst 2.6.6 #6 Mon Jun 14 21:47:36 CEST 2004 i686 AMD Athlon(tm) processor AuthenticAMD GNU/Linux > wenn du das iptables-restore gemacht hast > gibt bitte noch mal den Befehl > iptables -A POSTROUTING -o ppp0 -j MASQUERADE > ein und poste mal die genaue Fehlermeldung. > /home/ernst: iptables -A POSTROUTING -o ppp0 -j MASQUERADE iptables: No chain/target/match by that name Gruß Ernst PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] IPTABLES
/home/ernst: iptables -A POSTROUTING -o ppp0 -j MASQUERADE iptables: No chain/target/match by that name komisch er beschwert sich darüber das er POSTROUTING (chain) nicht findet haste mal ein update auf den kernel 2.6.7 gemacht (nicht nur wegen der fpu-lücke) du verwendest SuSE ? 9.x ? PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] IPTABLES
On Thursday 24 June 2004 13:27, Chris Ruehl wrote: > >/home/ernst: iptables -A POSTROUTING -o ppp0 -j MASQUERADE > >iptables: No chain/target/match by that name > > komisch er beschwert sich darüber das er POSTROUTING (chain) nicht findet > haste mal ein update auf den kernel 2.6.7 gemacht (nicht nur wegen der > fpu-lücke) > > du verwendest SuSE ? 9.x ? Ich bin gerade fürchterlich am Fluchen. Habe Gentoo. Wollte gerade meinen Kernel neu compilieren. Und dann kommt sowas: fs/.dcookies.o.cmd:1: warning: NUL character seen; rest of line ignored fs/.dcookies.o.cmd:2: warning: NUL character seen; rest of line ignored fs/.dcookies.o.cmd:2: *** missing separator. Stop. make: *** [fs] Error 2 Habe extra nochmal die Kernel-Sources neu geladen. Nix an der Konfiguration geändert. Und wieder die gleiche Meldung. :-( Ich denke langsam über einen Umstieg auf 2.4 nach. Gruß Ernst PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] IPTABLES
Ernst May-Jung wrote: On Thursday 24 June 2004 13:27, Chris Ruehl wrote: /home/ernst: iptables -A POSTROUTING -o ppp0 -j MASQUERADE iptables: No chain/target/match by that name komisch er beschwert sich darüber das er POSTROUTING (chain) nicht findet haste mal ein update auf den kernel 2.6.7 gemacht (nicht nur wegen der fpu-lücke) du verwendest SuSE ? 9.x ? Ich bin gerade fürchterlich am Fluchen. Habe Gentoo. Wollte gerade meinen Kernel neu compilieren. Und dann kommt sowas: fs/.dcookies.o.cmd:1: warning: NUL character seen; rest of line ignored fs/.dcookies.o.cmd:2: warning: NUL character seen; rest of line ignored fs/.dcookies.o.cmd:2: *** missing separator. Stop. make: *** [fs] Error 2 Habe extra nochmal die Kernel-Sources neu geladen. Nix an der Konfiguration geändert. Und wieder die gleiche Meldung. :-( Ich denke langsam über einen Umstieg auf 2.4 nach. Gruß Ernst PUG - Penguin User Group Wiesbaden - http://www.pug.org check mal deinen Compiler ich denke nicht das es am Kernel-Code liegt !! gcc version 3.3.4 (Debian) bei mir PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] IPTABLES
Hallo Chris, > check mal deinen Compiler ich denke nicht das es am Kernel-Code liegt !! Es liegt am Kernel-Code. Hab mir den 2.6.7er gezogen und da rennt der Compiler durch. Jetzt hab ich wieder eine Menge Arbeit mit dem Konfigurieren. Gruß Ernst PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] IPTABLES
On Thu, Jun 24, 2004 at 06:36:56PM +0200, Ernst May-Jung wrote: > Hallo Chris, > > > check mal deinen Compiler ich denke nicht das es am Kernel-Code liegt !! > > Es liegt am Kernel-Code. Hab mir den 2.6.7er gezogen und da rennt der Compiler > durch. Jetzt hab ich wieder eine Menge Arbeit mit dem Konfigurieren. > > Gruß > Ernst > > > PUG - Penguin User Group Wiesbaden - http://www.pug.org war kurz mal auf dem Linuxtag deswegen die Pause! - super dann compilier mal. Als hinweis bei DEBIAN gibt es das /etc/init.d/iptables script das braucht damit es läuft 1) in /var/lib/iptables/ a) file: active b) file: inactive 2) in /etc/default/ c) file iptables 3) einen Symbolic link von /etc/rc2.d/S19iptables -> /etc/init.d/iptables a) ist das restore-file das ich dir geschickt habe b) ist ein restore-file mit zurückgesetzen Regelwerk file: inactive [-begin-] # Generated by iptables-save v1.2.6a on Fri Dec 5 12:50:06 2003 *mangle :PREROUTING ACCEPT [0:0] :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] COMMIT # Completed on Fri Dec 5 12:50:06 2003 # Generated by iptables-save v1.2.6a on Fri Dec 5 12:50:06 2003 *nat :PREROUTING ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] COMMIT # Completed on Fri Dec 5 12:50:06 2003 # Generated by iptables-save v1.2.6a on Fri Dec 5 12:50:06 2003 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] COMMIT # Completed on Fri Dec 5 12:50:06 2003 [-end-] c) ist ein Steuerfile in dem noch weiter (autosave etc.) Einstellungen gemacht werden können. good filtering -cr -- o.o 'v' / \ It's your choice - i use LINUX ~ ~ PUG - Penguin User Group Wiesbaden - http://www.pug.org
[PUG] IPTABLES - MASQUARDE
Hallo, eigentlich ist das die Fortsetzung aber ich fange mal einen neuen Thread an, weil mein Bildschirm nicht so breit ist. ich hab den Tipp bekommen iptables mal neu zu emergen (Gentoo) gesagt getan. Emerge bricht ab: -- /usr/src/linux/include/linux/netfilter_ipv4/ip_tables.h:339: warning: type defaults to `int' in declaration of `DECLARE_MUTEX' /usr/src/linux/include/linux/netfilter_ipv4/ip_tables.h:339: warning: parameter names (without types) in function declaration /usr/src/linux/include/linux/netfilter_ipv4/ip_tables.h:339: warning: `DECLARE_MUTEX' declared `static' but never defined make: *** [extensions/libipt_stealth_sh.o] Error 1 -- Jetzt meine Frage: Das ganze IPTABLES-Zeug läßt sich doch in den Kernel mit einkompilieren. Oder, auch als Module, aber die werden doch auch gleich zusammengebaut? Was genau emerge ich da? Ist das sozusagen das Frontent? Gruß Ernst PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] iptables test
Hi, In article <[EMAIL PROTECTED]> you wrote: > Meine Frage daher, geht das überhaupt an einem HUB, beide NIC's? Klar, macht zwar keinen Sinn, aber warum nicht? > Denn aus einer Linux Zeitschrift, hab ich mir die ersten Regeln > herraus geschrieben und sie getestet. Nur leider funzt das nicht, > nicht einmal ein Ping geht. Ich vermute es hängt mit dem HUB > zusammen. > eth0: 192.168.10.1 > eth0: 192.168.100.233 gateway 192.168.100.253 Nochmal langsam, welche ip und viel wichtiger, welche netzmaske hast du auf welchem nic? > [...] > $IPTABLES -N unknown > $IPTABLES -A unknown -p TCP -j LOG --log-prefix "UNKNOWN:TCP" > $IPTABLES -A unknown -p UDP -j LOG --log-prefix "UNKNOWN:UDP" > $IPTABLES -A unknown -p ICMP -j LOG --log-prefix "UNKNOWN:ICMP" > $IPTABLES -A unknown -p TCP -j DROP > [...] > # we want ssh > $IPTABLES -A INPUT -i $DEV_LOC -s 192.168.100.0/255.255.255.0 -p TCP --sport >1000:1023 --dport ssh -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT > $IPTABLES -A OUTPUT -o $DEV_LOC -d 192.168.100.0/255.255.255.0 -p TCP --dport >1000:1023 --sport ssh -m state --state ESTABLISHED,RELATED -j ACCEPT > [...] > Also, wenn ich das so durchlese, erscheint es mir logisch, das nix > funzt. Nun, wie testet man dann seine Firewall richtig, ob ping etc Mir auch, du schmeißt erst alles weg und dann erlaubst du deine Dienste, das wird nicht gehen. Testen tust du indem du die verbotenen Sachen ausprobierst. > funzt. Ach, wenn ich das Script starte, dann haut es mir sämtliche > Meldungen auf den Screen, egal welche Konsole. Kann man das nicht > umleiten? Dann ist dein klogd nicht richtig konfiguriert. bis denn -- May the source be with you! PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] iptables test
Denny-Schierz wrote: > > Meine Frage daher, geht das überhaupt an einem HUB, beide NIC's? > Denn aus einer Linux Zeitschrift, hab ich mir die ersten Regeln > Nur leider funzt das nicht, nicht einmal ein Ping geht. Ich > vermute es hängt mit dem HUB zusammen. > eth0: 192.168.10.1 > eth0: 192.168.100.233 gateway 192.168.100.253 soll wohl so sein: DEV_LOC = eth0: 192.168.10.1 netmask 255.255.255.0 DEV_EXT = eth1: 192.168.100.233 netmask 255.255.255.0 gateway 192.168.100.253 richtig ? Dann wäre für einen ping von eth0 nach eth1 oder umgekehrt noch die Konfiguration des Routers wichtig. Du hast ja schon erwähnt das der wohl im 192.168.100.x netz liegt, aber kennt er auch das 192.168.10'er Netz? Ohne diese Informationen (Eintrag in der route.conf) wird's nix. Auch braucht deine eth0 einen Gateway- Eintrag auf das 10'er Interface im Router. Ansonsten ist das der nächste Show- stopper. Anschließend würde ich erst mal die Kommunikation zwischen eth0 und eth1 ohne Filter testen. Viel Spaß Klaus PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] iptables CLUSTERIP
Thorsten Gowik wrote: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Hallo erstmal, bin mal wieder ein wenig am experimentieren, diesmal angeregt durch diesen: http://flaviostechnotalk.com/wordpress/index.php/2005/06/12/loadbalancer-less-clusters-on-linux/ Artikel habe ich mir zwei ausgediente Maschinen geschnappt ein abgespecktes SuSE 10 drauf installiert und das ganze einmal ausprobiert. Soweit sieht das ganze auch schon recht gut aus, unter /proc wird auch die entsprechende Datei auf den Nodes angelegt. Allerdings stoße ich auf genau den selben Fehler wie viele anderen die einen Kommentar hinterlassen haben, die Dokumentation von CLUSTERIP ist ebenfalls mehr als dürftig. Keiner der Nodes antwortet auf den ARP Request, ich habe also mal angefangen alle möglichen und unmöglichen Kombinationen auszuprobieren. Beide Nodes mit gleicher IP und gleicher MAC >> kein Erfolg, jeder Node mit eigener MAC und seiner eigenen IP + Cluster IP am gleichen Interface >> kein Erfolg, beide Nodes mit gleicher MAC unterschiedlichen IP sowie der Cluster IP >> kein Erfolg. In allen Fällen scheitert es bereits am ARP Request bzw. im zuletzt genannten Fall gibt keiner der Nodes eine Antwort auf die Anfrage des Clients. Hat von euch schon einmal jemand eine solche Konfiguration erfolgreich aufgesetzt, oder eine Idee wie das Funktionieren könnte/soll? Eventuell kann mir ja auch einer mal eben schnell eine Kerze reichen damit ich ein wenig Licht in das Dunkel hier bringen kann. :-) Hi Thorsten, gut, mal wieder von Dir zu hören. Ich habe mal vor Jahren TurboLinux dafür konfiguriert: http://www.linux-magazin.de/Artikel/ausgabe/2002/03/turbocluster/turbo.html. Mit zwei Load Balancern konnte ich gleichzeitig einen Load Balancer und zwei von drei Servern den Stromstecker ziehen, ohne dass die vier Clients beim HTTP-Request-Feuern einen größeren Ausfall als ca. 2000 ms zu erleiden hatten -> cool! Gruss Silvério -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] IPTABLES _IPCop
IPCop fällt flach, habe keinen eigenen Rechner dafür zur Verfügung. Außerdem ist ein D-Link Router billger als der Strom für die größere Hardware. Gruß Ernst PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] IPTABLES _IPCop
Wo ist jetzt die Frage? Dann kauf' Dir doch einen DLink Router. Oder nimm für den iptables-Kram webmin zum konfigurieren, und guck Dir hinterher an, was passiert ist, da kann man auch viel lernen, und einfach ist es obendrein! Patrick Am Di, den 22.06.2004 schrieb Ernst May-Jung um 19:55: > IPCop fällt flach, habe keinen eigenen Rechner dafür zur Verfügung. > Außerdem ist ein D-Link Router billger als der Strom für die größere Hardware. > > Gruß > Ernst > > > > PUG - Penguin User Group Wiesbaden - http://www.pug.org -- Patrick Glanz <[EMAIL PROTECTED]> DV Kombinat GmbH signature.asc Description: Dies ist ein digital signierter Nachrichtenteil
Re: [PUG] IPTABLES - MASQUARDE
On Tue, Jun 29, 2004 at 04:21:32PM +0200, Ernst May-Jung wrote: > > > Hallo, > > eigentlich ist das die Fortsetzung aber ich fange mal einen neuen Thread an, > weil mein Bildschirm nicht so breit ist. > > ich hab den Tipp bekommen iptables mal neu zu emergen (Gentoo) > > gesagt getan. Emerge bricht ab: > -- > /usr/src/linux/include/linux/netfilter_ipv4/ip_tables.h:339: warning: type > defaults to `int' in declaration of `DECLARE_MUTEX' > /usr/src/linux/include/linux/netfilter_ipv4/ip_tables.h:339: warning: > parameter names (without types) in function declaration > /usr/src/linux/include/linux/netfilter_ipv4/ip_tables.h:339: warning: > `DECLARE_MUTEX' declared `static' but never defined > make: *** [extensions/libipt_stealth_sh.o] Error 1 > -- > > > Jetzt meine Frage: > > Das ganze IPTABLES-Zeug läßt sich doch in den Kernel mit einkompilieren. > Oder, auch als Module, aber die werden doch auch gleich zusammengebaut? > > Was genau emerge ich da? Ist das sozusagen das Frontent? > > > Gruß > Ernst > > > > > > PUG - Penguin User Group Wiesbaden - http://www.pug.org da kommt bei mir die grosse frage auf wieso das iptables dann beim bauen auf dem sourcecode des kernels zugreifen muss ... und welcher Kernel-Code wird da herangezogen 2.4 , 2.6 ??? DECLARE_MUTEX ist im "include/asm-i386/semaphore.h" wie folgt: #define __DECLARE_SEMAPHORE_GENERIC(name,count) \ struct semaphore name = __SEMAPHORE_INITIALIZER(name,count) #define DECLARE_MUTEX(name) __DECLARE_SEMAPHORE_GENERIC(name,1) definiert .. deine FRAGE: 1)ja, die Driver und Tables, die mit dem ip,mac,arp,ftp umgehen 2)das Userspace Programm mit dem du die Steuerung machst ist wieder was anderes das Frontend brauchst du damit du dem Kernel "deine Regeln" aufzwingen kannst. -- o.o 'v' / \ It's your choice - i use LINUX ~ ~ PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] IPTABLES - MASQUARDE
Hallo Christopher, > > da kommt bei mir die grosse frage auf wieso das iptables dann beim > bauen auf dem sourcecode des kernels zugreifen muss ... und > welcher Kernel-Code wird da herangezogen 2.4 , 2.6 ??? 2.6.7 da der 2.6.6er sich bei mir nicht mehr bauen läßt. Dass es sich um einen Zugriff auf den Kernel Code handelt, hast Du gesagt und wie ich da sehe, auch nachgewiesen. Warum, weiss ich selber nicht. Ob sich das die Gentoo Ebuilder haben einfallen lassen? Ich hab grad Mail von der Gentoo-Liste bekommen: Der Bug ist bekannt: http://bugs.gentoo.org/show_bug.cgi?id=55501 Ein Workaround auch: http://forums.gentoo.org/viewtopic.php?t=187556&postdays=0&postorder=asc&start=0 Mal sehen was sich tut... Gruß Ernst > > DECLARE_MUTEX ist im > "include/asm-i386/semaphore.h" > wie folgt: > > #define __DECLARE_SEMAPHORE_GENERIC(name,count) \ > struct semaphore name = __SEMAPHORE_INITIALIZER(name,count) > #define DECLARE_MUTEX(name) __DECLARE_SEMAPHORE_GENERIC(name,1) > > definiert .. > > deine FRAGE: > > 1)ja, die Driver und Tables, die mit dem ip,mac,arp,ftp umgehen > > 2)das Userspace Programm mit dem du die Steuerung machst ist wieder was > anderes > > > das Frontend brauchst du damit du dem Kernel "deine Regeln" aufzwingen > kannst. PUG - Penguin User Group Wiesbaden - http://www.pug.org
[PUG] iptables in Kernel 2.4
Ich habe gestern den Kernel 2.4 provisorisch bei mir installiert (Noch fehlermeldung, aber Netz läuft). Ich möchte iptables zum routen benutzen. Bekomme aber nach einem hinzufügen beliebiger Regeln bei iptables --list keine Einträge zu sehen. Fragen: - ich habe verzweifelt nach den erforlderlichen Einstellungen für die Kernel-Compilierung zum Theme iptables gesucht. Gibt es eine Beschreibung? - Gibt es mehr als nur die Beschreibungen zum Paket iptables und die Adnvanced-Routing-How-To zu diesem Thema? Bin für Hinweise sehr dankbar. Martin Kellner --- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re[2]: [PUG] iptables test
Guten Tag Hans Freitag, Am Freitag, 20. Juli 2001 um 17:00 schrieben Sie: HF> Klar, macht zwar keinen Sinn, aber warum nicht? in Ordnung, ist ja nur ein Test :-) HF> Nochmal langsam, welche ip und viel wichtiger, welche netzmaske hast HF> du auf welchem nic? also die interne ist $DEV_LOC mit 192.168.10.1 255.255.255.0 die externe ist $DEV_EXT mit 192.168.100.233 255.255.255.0 (sonst komm ich nicht an den Router) HF> Mir auch, du schmeißt erst alles weg und dann erlaubst du deine Dienste, HF> das wird nicht gehen. Testen tust du indem du die verbotenen Sachen HF> ausprobierst. Dann habe ich den Syntax falsch verstanden, das bedeutet, ich muß die Dienste über die DROP Regeln setzen HF> Dann ist dein klogd nicht richtig konfiguriert. Das habe ich gelesen, das da noch einträge rein müssen, das hat mir google geflüstert. Mit freundlichen Grüssen Denny-Schierzmailto:[EMAIL PROTECTED] PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] iptables in Kernel 2.4
Hallo Martin, hier ein kleines Anwendungsbeispiel für iptables: ifconfig eth0:1 193.17.17.198 netmask 255.255.255.0 broadcast 193.17.17.255 ifconfig eth0:2 192.168.0.11 netmask 255.255.255.0 broadcast 192.168.0.255 modprobe ip_nat_ftp /usr/local/bin/iptables -t nat -F PREROUTING /usr/local/bin/iptables -t nat -F POSTROUTING /usr/local/bin/iptables -A forward -j DENY /usr/local/bin/iptables -A forward -s 212.121.128.0/24 -d 193.17.17.198 -j ACCEPT /usr/local/bin/iptables -A forward -s 62.96.225.128/27 -d 193.17.17.198 -j ACCEPT /usr/local/bin/iptables -A PREROUTING -t nat -d 193.17.17.198 -j DNAT --to 192.168.0.10 /usr/local/bin/iptables -A POSTROUTING -t nat -s 192.168.0.10 -j SNAT --to 193.17.17.198 echo "1" > /proc/sys/net/ipv4/ip_forward Erklärung: Die Adresse 193.17.17.198 wird hier auf 192.168.0.10 geNATed, d.h. alle Requests auf 193.17.17.198 werden übersetzt auf 192.168.0.10 und umgekehrt. Weiterhin werden in diesem Beispiel auch nur Zugriffe aus den Netzen 212.121.128.0/24 und 62.96.225.128/27 zugelassen. Mit iptables -vL bzw iptables -t nat -vL lassen sich die Einträge betrachten. Christian "Martin H. Kellner" wrote: > Ich habe gestern den Kernel 2.4 provisorisch bei mir installiert (Noch > fehlermeldung, aber Netz läuft). > > Ich möchte iptables zum routen benutzen. Bekomme aber nach einem > hinzufügen beliebiger Regeln bei iptables --list keine Einträge zu > sehen. --- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] iptables in Kernel 2.4
Hallo Christian, danke fuer die Antwort, ich habe in zwei Halbnachtsitzungen das ganze selbst so weit zum laufen gebracht, daß ich hinter der Firewall einen Webserver laufen habe, der über die äussere IP-Adresse der Firewall anzusprechen ist. Ich habe hierdurch in verbindung mit www.dyndns.org einen webserver laufen, der auch mit dynamischer IP über eine einigermaßen vernünftige url zu erreichen ist. > /usr/local/bin/iptables -A PREROUTING -t nat -d 193.17.17.198 -j DNAT --to > 192.168.0.10 > /usr/local/bin/iptables -A POSTROUTING -t nat -s 192.168.0.10 -j SNAT --to > 193.17.17.198 so ähnlich sieht das hier auch aus. Ich hole mir noch die dynamishe ip über: EXT_IP=`ifconfig ippp0 | grep inet | cut -d: -f2 | cut -d\ -f1` Ich werde demnächst mal einen Mini-Artikel aufsetzen für dieses Thema "Server zu Hause". Martin Kellner --- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] iptables in Kernel 2.4
At 08:02 19.01.01 +0100, you wrote: >Hallo Christian, danke fuer die Antwort, >[...] >Ich werde demnächst mal einen Mini-Artikel aufsetzen für dieses Thema >"Server zu Hause". Das fände ich schon cool, denn im Moment bau ich mir selbst so ein Teil ähnlich dem PUG-Server (PHP,MYSQL etc.) tobi --- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] iptables in Kernel 2.4
Ich bin nicht so der Skript-Hacker, daher muß ich mich an 2 oder 3 Stellen noch um gute Lösungen kümmern. Wenn ich etwas berichte wir es den Teil "dynamische IP und trotzdem feste URL" und das Routing auf einen zweiten Rechner im Heimnetz betreffen. Beim Rest bin ich nicht up-to-date (server). Der Test hat aber schon funktioniert: http://www.mail-archive.com/talk%40pug.org/msg03786.html Martin Kellner Tobias Kaefer schrieb: > > At 08:02 19.01.01 +0100, you wrote: > >Hallo Christian, danke fuer die Antwort, > >[...] > >Ich werde demnächst mal einen Mini-Artikel aufsetzen für dieses Thema > >"Server zu Hause". > > Das fände ich schon cool, denn im Moment bau ich mir selbst so ein Teil > ähnlich dem PUG-Server (PHP,MYSQL etc.) > tobi > > --- > PUG - Penguin User Group Wiesbaden - http://www.pug.org --- PUG - Penguin User Group Wiesbaden - http://www.pug.org
[PUG] "# iptables -C" weiss einer ob es doch funktioniert.....
Hallo! Was mich seit geraumer Zeit nervt ist die Meldung die man für # iptables -C INPUT -i eth1 -p tcp -s abc.bla.com --sport 1434 -d foo.home.info --dport 8081 bekommt: iptables: Will be implemented real soon. I promise ;) Hat jemand da eine Lösung? Muss man beim Erstellen (Kernel oder iptables) irgendwelche Dinge berücksichtigen? Oder geht es einfach (noch) nicht? Gruss Tobi PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] "# iptables -C" weiss einer ob es doch funktioniert.....
Hi Tobi, On Sun, Mar 10, 2002 at 05:31:04PM +0100, Tobias Kaefer wrote: [iptables -C] > iptables: Will be implemented real soon. I promise ;) > > Hat jemand da eine Lösung? > Muss man beim Erstellen (Kernel oder iptables) irgendwelche Dinge > berücksichtigen? > Oder geht es einfach (noch) nicht? Darüber bin ich auch schon gestolpert. Ich habe auch gleich bei den Entwicklern nachgefragt und die Antwort bekommen, dass z.Z. keiner daran arbeitet. Das ist jetzt bestimmt schon >4 Monate her, also würde ich nicht darauf hoffen, dass es "bald" implenentiert wird. Ich bin mir nicht ganz sicher, aber ich glaube Nemesis generiert Packete nach iptables -C-Manier. Schau mal hier: http://www.packetfactory.net/projects/nemesis/ Kevin -- "I get a high out of coding." - Andrew Tridgell (Samba) PUG - Penguin User Group Wiesbaden - http://www.pug.org
[PUG] Iptables Modul im Kernel 2.6.12 (Xen-version) mit menueconfig einschalten
Hallo, ich finde die Option für iptables im Xen Kernel 2.6.12 (müsste ein Vanilla mit Xen 3.0 Patchen sein zumindest habe ich habe Xen 3.0.1-src verwendet) einfach nicht wie heißt die und wo ist die genau? MfG Bernhard -- Spielt http://www.zwischenwelt.org! -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Iptables Modul im Kernel 2.6.12 (Xen-version) mit menueconfig einschalten
Bernhard Guillon wrote: Hallo, ich finde die Option für iptables im Xen Kernel 2.6.12 (müsste ein Vanilla mit Xen 3.0 Patchen sein zumindest habe ich habe Xen 3.0.1-src verwendet) einfach nicht wie heißt die und wo ist die genau? MfG Bernhard Ich hatte vergessen zu schreiben, dass es um den DomU Kernel geht - sorry. MfG Bernhard -- Spielt http://www.zwischenwelt.org! -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Iptables Modul im Kernel 2.6.12 (Xen-version) mit menueconfig einschalten
Bernhard Guillon wrote: Bernhard Guillon wrote: Hallo, ich finde die Option für iptables im Xen Kernel 2.6.12 (müsste ein Vanilla mit Xen 3.0 Patchen sein zumindest habe ich habe Xen 3.0.1-src verwendet) einfach nicht wie heißt die und wo ist die genau? Ich hatte vergessen zu schreiben, dass es um den DomU Kernel geht - sorry. Hallo, ich antworte mir mal selbst, da es vieleicht noch irgendwann jemand anderes brauchen kann. Die menuconfig Option bezeiht sich komischerweise nur auf den xen Kernel, nicht aber auf die xen0 und xenU Kernel! In der .config Datei des jeweiligem Kernelverzeichnisses kann man die Optionen einzeln setzen. Ein make dist macht dann ein neues dist Verzeichnis mit den richtigen Kerneloptionen. CONFIG_IP_NF_IPTABLES=m ist der iptables Eintrag für ip v.4. Ich hoffe mal es hilft noch jemandem. MfG Bernhard -- Spielt http://www.zwischenwelt.org! -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
