iptables problem

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • iptables problem

    Hi Jungs und Mädels,

    ich hab momentan selbst probleme und glaube fast das ich zu sehr drin bin um die einfach Lösung zu sehen. Ich habe via gentoo ein Update meines Servers gemacht und seither komme ich nicht mehr ins Inet mit den Clients hinter dem Server. Mein Server fungiert als Router zwischen Modem und meinem lokalen Netz. Vom Server aus komme ich ins Inet, vom Client her nicht. Ich habe via tcpdump gesehen (anhand von pings auf google), dass meine Pakete zwar das interne Interface erreichen, aber von da nicht weiter kommen und schon gar keine Antwort kommt.

    Nun die Vermutung liegt nahe das mein Paketfilter seine Finger im Spiel hat, falls sich jemand damit auskennt bitte gerne Kommentare und Verbesserungen anbringen. Ich hab mir das vor etwa nem Jahr selbst zusammen gebastelt und weiss nicht ob mein System jetzt anfängt zu versagen.

    Für Tipps an was es sonst liegen könnte wäre ich auch dankbar.

    iptables.rules:

    Quellcode

    1. testserver / # iptables -L
    2. Chain INPUT (policy DROP)
    3. target prot opt source destination
    4. ACCEPT tcp -- anywhere anywhere tcp dpt:12185 flags:SYN,RST,ACK/SYN
    5. ACCEPT tcp -- anywhere anywhere tcp dpt:ftp-data flags:SYN,RST,ACK/SYN
    6. ACCEPT tcp -- anywhere anywhere tcp dpt:ftp flags:SYN,RST,ACK/SYN
    7. ACCEPT tcp -- anywhere anywhere tcp dpt:http flags:SYN,RST,ACK/SYN
    8. ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
    9. ACCEPT all -- anywhere anywhere state NEW
    10. REJECT udp -- anywhere anywhere udp dpt:bootps reject-with icmp-port-unreachable
    11. REJECT udp -- anywhere anywhere udp dpt:domain reject-with icmp-port-unreachable
    12. ACCEPT icmp -- anywhere anywhere icmp echo-request
    13. Chain FORWARD (policy DROP)
    14. target prot opt source destination
    15. ACCEPT all -- 192.168.1.0/24 anywhere
    16. ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
    17. DROP all -- anywhere anywhere state INVALID
    18. DROP tcp -- anywhere anywhere tcp flags:!SYN,RST,ACK/SYN state NEW
    19. DROP all -- anywhere 192.168.1.0/24
    20. DROP all -- 192.168.1.0/24 anywhere
    21. LOG all -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning
    22. LOG all -- anywhere anywhere LOG level warning
    23. ACCEPT tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN limit: avg 3/hour burst 5
    24. tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/RST limit: avg 3/hour burst 5
    25. icmp -- anywhere anywhere icmp echo-request limit: avg 3/hour burst 5
    26. Chain OUTPUT (policy ACCEPT)
    27. target prot opt source destination
    28. ACCEPT tcp -- anywhere anywhere tcp dpt:http
    Alles anzeigen


    Zur Erklärung:

    -Ich habe meinen SSH-Zugang auf Port 12185 am laufen.
    -Auf dem Server läuft auch noch ein FTP und Apache auf den Standard-Ports
    -Diese "limit: avg 3/hour burst 5" in der FORWARD Chain sind, wenn ich mich richtig erinnere, dazu da Flood Attacken entgegenzuwirken (also SYN Flood usw.).

    -purx

    [EDIT]Hab gerade noch einen Tipp bekommen, der Wer "ip_forward muss auf 1 sein, bei mir war es auf 0 einstellt, testen kann ich erst heute abend...

    Quellcode

    1. testserver / # cat /proc/sys/net/ipv4/ip_forward
    2. 0
    3. testserver / # echo "1" > /proc/sys/net/ipv4/ip_forward
    4. testserver / # cat /proc/sys/net/ipv4/ip_forward
    5. 1

    [/EDIT]
    [SIZE=1]"There's no right, there's no wrong, there's only popular opinion." Jeffrey Goines (Brad Pitt) in Twelve Monkeys[/SIZE]

    [SIZE=1]$ killall chico[/SIZE]
  • es ist /etc/hosts :D

    Em, nein die hab ich da nicht eingetragen, weiss aber nicht was das damit zu tun haben sollte. Die Clients sind dem Server schon bekannt, da er auch DHCP Server ist.

    Mein Server ist einfach alles: :löl:
    -Web
    -FTP
    -Router
    -Firewall
    -DHCP
    -DNS
    -Time
    [...]
    [SIZE=1]"There's no right, there's no wrong, there's only popular opinion." Jeffrey Goines (Brad Pitt) in Twelve Monkeys[/SIZE]

    [SIZE=1]$ killall chico[/SIZE]
  • OK, konnte das Problem lösen, mit dem /proc/sys/net/ipv4/ip_forward auf 1 gings.

    Kann also geclosed werden.

    [OT]: n0n4m3 willst du nicht mal deine Sig ändern?[/OT]
    [SIZE=1]"There's no right, there's no wrong, there's only popular opinion." Jeffrey Goines (Brad Pitt) in Twelve Monkeys[/SIZE]

    [SIZE=1]$ killall chico[/SIZE]