iptables + namensauflösung

[FALc]

hallo,

wenn ich dieses script ausführe kann ein client NICHT anhand der ip den namen des rechner feststellen:rolleyes:

http://blablabla GEHT NICHT

http://192.168.0.54 GEHT

ohne firewall geht beides!

Könnt ihr mir daher sagen was ich noch erlauben muss dafür?

thx

---------------------------------------------------------------------------------

#! /bin/sh

# S1 CSM Juni2003

echo 1 > /proc/sys/net/ipv4/ip_forward

#-----------------------------------------

# Default policy

iptables -P INPUT DROP

iptables -P OUTPUT DROP

iptables -P FORWARD DROP

iptables -F

iptables -t nat -F

iptables -X

#------------------------------------------

# Routing MTU wird gesetzt

modprobe iptable_nat

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

#------------------------------------------

# lokale Prozesse

iptables -A OUTPUT -o lo -j ACCEPT

iptables -A INPUT -i lo -j ACCEPT

#------------------------------------------

# ssh port 666 * kein root login

iptables -A INPUT -p tcp --sport 1024:65535 --dport 666 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

iptables -A OUTPUT -p tcp --sport 1024:65535 --dport 666 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

#------------------------------------------

# apache

iptables -A INPUT -p tcp --sport 1024:65535 --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

iptables -A OUTPUT -p tcp --sport 1024:65535 --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

#------------------------------------------

# Ping

iptables -A FORWARD -i eth0 -o ppp0 -p icmp --icmp-type echo-request -j ACCEPT

iptables -A FORWARD -o ppp0 -i eth0 -p icmp --icmp-type echo-request -j ACCEPT

#==========================================

#ausgehende Pakete

iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -i eth0 -o ppp0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

#eingehende Pakete

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -i ppp0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

#==========================================

echo "#######################################################"

echo "### FIREWALL ONLINE ###"

echo "#######################################################"

[blackswordowner]

Hallöchen!!

Mußt DNS auch erlauben, da der Port anscheinend geblockt wird... läuft glaub ich auf UDP / TCP 53.

Gruß

BSO :marine

[FALc]

iptables -A INPUT -p udp --sport 53 --dport 1024:65535 -j ACCEPT

iptables -A OUTPUT -p udp --sport 53 --dport 1024:65535 -j ACCEPT

iptables -A INPUT -p tcp--sport 53 --dport 1024:65535 -j ACCEPT

iptables -A OUTPUT -p tcp --sport 53 --dport 1024:65535 -j ACCEPT

so also?

[Kristian]

Das wäre ein auf der Firewall laufender Server...

Andersherum: --sport 1024:65xxx -dport 53

[gurkenpapst]

wenn du mit FORWARDING arbeitest, und ein DNS-Server draussen angesprochen werden soll, genügt es den Port 53 für TCP und UDP in der FORWARDING Kette freizuschalten. Wobei nach draussen 53 der Zielport ist, für die antworten des Nameservers ist Port 53 der Quellport.

Alternativ bietet es sich an einen caching-only Nameserver einzurichten.

gruß gurkenpapst

[FALc]

iptables // apt-request irgendwo hier läuft was schief laut meiner interpretation von tcpdump:

,

was muss ich tun damit eine apt who-has sowei ein apt request meine paketfilter (iptables) passieren kann?