FALc Geschrieben 8. August 2003 Geschrieben 8. August 2003 hallo, wenn ich dieses script ausführe kann ein client NICHT anhand der ip den namen des rechner feststellen:rolleyes: http://blablabla GEHT NICHT http://192.168.0.54 GEHT ohne firewall geht beides! Könnt ihr mir daher sagen was ich noch erlauben muss dafür? thx --------------------------------------------------------------------------------- #! /bin/sh # S1 CSM Juni2003 echo 1 > /proc/sys/net/ipv4/ip_forward #----------------------------------------- # Default policy iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -F iptables -t nat -F iptables -X #------------------------------------------ # Routing MTU wird gesetzt modprobe iptable_nat iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu #------------------------------------------ # lokale Prozesse iptables -A OUTPUT -o lo -j ACCEPT iptables -A INPUT -i lo -j ACCEPT #------------------------------------------ # ssh port 666 * kein root login iptables -A INPUT -p tcp --sport 1024:65535 --dport 666 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -p tcp --sport 1024:65535 --dport 666 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT #------------------------------------------ # apache iptables -A INPUT -p tcp --sport 1024:65535 --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -p tcp --sport 1024:65535 --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT #------------------------------------------ # Ping iptables -A FORWARD -i eth0 -o ppp0 -p icmp --icmp-type echo-request -j ACCEPT iptables -A FORWARD -o ppp0 -i eth0 -p icmp --icmp-type echo-request -j ACCEPT #========================================== #ausgehende Pakete iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i eth0 -o ppp0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT #eingehende Pakete iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i ppp0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT #========================================== echo "#######################################################" echo "### FIREWALL ONLINE ###" echo "#######################################################"
blackswordowner Geschrieben 8. August 2003 Geschrieben 8. August 2003 Hallöchen!! Mußt DNS auch erlauben, da der Port anscheinend geblockt wird... läuft glaub ich auf UDP / TCP 53. Gruß BSO :marine
FALc Geschrieben 8. August 2003 Autor Geschrieben 8. August 2003 iptables -A INPUT -p udp --sport 53 --dport 1024:65535 -j ACCEPT iptables -A OUTPUT -p udp --sport 53 --dport 1024:65535 -j ACCEPT iptables -A INPUT -p tcp--sport 53 --dport 1024:65535 -j ACCEPT iptables -A OUTPUT -p tcp --sport 53 --dport 1024:65535 -j ACCEPT so also?
Kristian Geschrieben 8. August 2003 Geschrieben 8. August 2003 Das wäre ein auf der Firewall laufender Server... Andersherum: --sport 1024:65xxx -dport 53
gurkenpapst Geschrieben 8. August 2003 Geschrieben 8. August 2003 wenn du mit FORWARDING arbeitest, und ein DNS-Server draussen angesprochen werden soll, genügt es den Port 53 für TCP und UDP in der FORWARDING Kette freizuschalten. Wobei nach draussen 53 der Zielport ist, für die antworten des Nameservers ist Port 53 der Quellport. Alternativ bietet es sich an einen caching-only Nameserver einzurichten. gruß gurkenpapst
FALc Geschrieben 8. August 2003 Autor Geschrieben 8. August 2003 iptables // apt-request irgendwo hier läuft was schief laut meiner interpretation von tcpdump: , was muss ich tun damit eine apt who-has sowei ein apt request meine paketfilter (iptables) passieren kann?
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde Dich hier an.
Jetzt anmelden