iptables Regeln löschen

[efkay]

Hallo Leutehab da dermaßen ein großes Problem und ich bitte euch.....!!!

Also hab den Befehl: iptables -A INPUT -p tcp --dport 80 -j DROP

das sich meine leute nur über proxy anmelden das war der Grund.

so jetzt habe ich nur ein problem man hat mir gesagt unter Linux (Suse7.3) beim neustarten wären die regeln wieder weg aber irgendwie sind sie noch da auch wenn ich iptables -L eingebe kommt das hier heraus:

Chain INPUT (policy ACCEPT)

target prot opt source destination

Chain FORWARD (policy ACCEPT)

target prot opt source destination

Chain OUTPUT (policy ACCEPT)

target prot opt source destination

scheint doch das gar keine regeln mehr da sind oder?

jedenfalls komme ich jetzt nur noch über proxy heraus und das ziemlich langsam und würde gerne wieder die direkte Internetverbindung nehmen weiß jemand von euch wie das funzt mein outlook geht auch nichts für mail abholen .

iptables -X habe ich auch schon gemacht. ich weiß nicht mehr weiter zumal ich mich gr nicht auskenne mit firewalling unter Linux.

Danke im voraus

gruß efkay

[DanielB]

Wie bereits im anderen Thread erwähnt, ist das Blocken von Port 80 auf dem Proxy für das was Du willst sinnlos.

Ich vermute Du hattest für einen 'direkten' Zugriff auf das Internet (ohne Proxy), IP Masquerading am Laufen ? Vermutlich sind die Regeln, die diese Art des Zuganges ermöglichen gelöscht worden. Was sagt

 iptables -L -n -t nat 

? Verwende diese Regel um das IP Masquerading wieder einzuschalten :

/usr/sbin/iptables -A POSTROUTING -t nat -s 192.168.0.0/24 -j MASQUERADE

Wobei Du 192.168.0.0/24 natürlich durch den von Dir verwendeten Adressraum ersetzen musst.

[efkay]

hey danielb danke dir nochmal also ausgabe: iptables -L -n -t nat:

Chain PREROUTING (policy ACCEPT)

target prot opt source destination

Chain POSTROUTING (policy ACCEPT)

target prot opt source destination

Chain OUTPUT (policy ACCEPT)

target prot opt source destination

also bei mir ist es jetzt so mein proxy is aus und ich will einfach nur über direkte verbindung ins netz(wollte es nur noch mal sagen)

/usr/sbin/iptables -A POSTROUTING -t nat -s 192.168.0.0/24 -j MASQUERADE

Wobei Du 192.168.0.0/24 natürlich durch den von Dir verwendeten Adressraum ersetzen musst= wie meinst du das ich habe ja zwei ip eine von eth0 und eine eth1.

was ist /24 ist das der port?

[DanielB]

192.168.0.0 ist die Netzwerkadresse, die 24 ist die Subnetzmaske. Die Subnetzmaske könntest Du auch so schreiben : 255.255.255.0.

Also ich gehe mal davon aus, dass Du die IP 192.168.0.1 auf eth0 hast und eine Subnetzmaske von 255.255.255.0. Die Regel in diesem Fall wäre :

/usr/sbin/iptables -A POSTROUTING -t nat -s 192.168.0.0/24 -j MASQUERADE

oder in der anderen Schreibweise :

/usr/sbin/iptables -A POSTROUTING -t nat -s 192.168.0.0/255.255.255.0 -j MASQUERADE

[efkay]

also danielb erst mal vielen vielen Dank ich kenn mich mit firewalling absolut nich aus ich glaub ich sollte mal langsam da anfangen. der grund warum ich port 80 sperren wollte is hab mein squid so eingestellt das sich jeder der ins netz geht sich erstmal anmelden muß über proxy mit einem user und passwort der auf dem linux-server is. leider war halt noch die direkte verbindung offen, deswegen wollte ich den direkten zugang sperren lassen das war der hauptgrund.

also vielen dank nochmal.

gruß efkay

[gurkenpapst]

Also hatte ich es doch richtig verstanden das du direktes Durchreichen für www(port 80) verhindern wolltest?

Grundsätzliches forwarding kannst du durch

echo 0 > /proc/sys/net/ipv4/ip_forward

ausschalten, so leitet der rechner keine packete weiter.

Das ist eher zu empfehlen als nur Verbindungen zu Zielport 80 zu verbieten, ausser du möchtest anderen Diensten wiederum erlauben direkt auf das andere Netz zuzugreifen.

[efkay]

danke dir,

aber was ist wenn ich es wieder disabled haben möchte also zugriff wieder drauf

[gurkenpapst]

echo 1 > /proc/sys/net/ipv4/ip_forward