|
Iptables - Fehler in OUTPUT chain?
Ein Grüssi an die Gurus!
Leute, ich bin grad a bisserl am verzweifeln mit meiner Firewall/Router Gurke... Ich hab als Attachment einen Auszug aus "iptables -vL" angehängt. Da sieht man das Interface eth1 (ist das ausgehende Richtung INET, auch Default GW), bei dem laut Config jedlicher Traffic ausgehend erlaubt sein sollte, das spielts mir aber nicht. z.B: nslookup geht nicht, das bleibt alles beim LOG Eintrag in der OUTPUT chain hängen, der Log Eintrag dafür sieht dann so aus: Aug 6 21:39:17 firewall kernel: FW DROP OUTPUT: IN= OUT=eth1 SRC=XXX_meineIP_XXX DST=217.196.64.11 LEN=71 TOS=0x00 PREC=0x00 TTL=64 ID=41541 DF PROTO=UDP SPT=1027 DPT=53 LEN=51 Kann vielleicht einer mit etwas mehr Hirn als ich mal einen Blick auf die Iptables.txt werfen und mir den Fehler sagen? Wär mir ein Volksfest... cheers, Steli |
Dazu braucht man doch gar nicht soviel Hirn *g*
Und Guru bin ich auch keiner, aber sieh doch mal : Das hier sind alle ACCEPT Rules in der OUTPUT chain : 12 1180 ACCEPT all -- any lo anywhere anywhere 0 0 ACCEPT all -- any eth0 212.196.73.2 10.10.10.0/24 24 10456 ACCEPT all -- any eth0 10.10.10.0/24 10.10.10.0/24 0 0 ACCEPT all -- any eth1 212.196.73.2 anywhere 0 0 ACCEPT udp -- any eth1 212.196.73.2 anywhere Nur 2 davon gehen über dein eth1 Interface, und keine von beiden lässt Traffic auf deine Nameserver zu - logisch dass es das nicht gehen kann oder ? Denn damit tritt deine Chain policy - in diesem Fall DROP - in Kraft. Wieso setzt du die OUTPUT chain Policy nicht auf ACCEPT ? Sicher ist DROP paranoider, aber dann wird dein ruleset schon ein wenig komplizierter...;) Setz sie halt auf ACCEPT und blockier die Ports der well-known Trojans, damit hast auch schon viel getan. Ansonsten - sieh dir mal iptables Beispielscripts aus dem Internet a (Suchfunktion des Forums benutzen, ich kann mich erinnern dass da irgendwo schon auf einige Seiten verlinkt wurde). --qu |
Hei!
Na ja, eigentlich hab ichs so verstanden, dass die 4 te Zeile in der OUTPUT chain sagt: Lass jedes Protokoll auf eth1, IP 212.196.73.2 in Richtung 0.0.0.0/0 zu... Damit sollt eh alles ausgehende offen sein. Zum Thema Beispiel-Script schauts so aus, daß das eigentich das STRONG script von der IP Masquerading HOWTO ist. cheers, Steli (Nein Herr Doktor, ich bin gar nicht Paranoid..... huch, is da jemand hinter mir???... uiii, is des a schöne Jacke, nur bewegen kann ich mich da so schlecht.... baaa, de Wänd san aus Gummi .... dagegenspring....uahahahahaha ...:verwirrt: :verwirrt: :verwirrt: ) |
i bin zwar kein ipt guru (bei weitem nicht :D) aber:
was wenn du in deinen rules umstellest, dass bei source nicht die ip adresse sondern any steht... gehts dann? |
Aja - du hast recht, hab ich übersehen...
>SRC=XXX_meineIP_XXX Welche IP steht hier drinnen ? Dieselbe wie in der iptables rule die alles ausgehende durchlässt ? Hast du eine statische oder dynamische IP ? wenn dynamisch - is klar dass nicht geht.... --qu |
Guten Morgen!
@quaylar: Ich hab ne fixe IP, das ist die selbe die nach aussen alles durchlässt @valo: das werd ich mal probieren, wenn ich Zuhaus bin (muss hackeln...). Vielen Dank, Steli |
| Alle Zeitangaben in WEZ +2. Es ist jetzt 21:55 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag