HILFE!!! WCM-Firewall & PPtP

[Dim]

Hi!

Ich habe leider ein kleines Problem! Ich habe mir das WCM Firewall Script sowie das Alternative Firewall Script nun mehrmals durchgesehen und auch etwas damit rumgespielt, doch leider kenne ich mich mit "iptables" einfach nicht gut genug aus!

Ich schaffe es leider nicht, daß mir die Firewall TCP über Port 1723 sowie IP mit Protokoll-ID 47 (GRE) ermöglicht, daß ja für ADSL über PPtP nötig ist!

Kann mir vielleicht jemand helfen? Welche Ergänzungen müßte WO vornehmen???

Danke
Dim

[Sloter]

Eigentlich reicht DEFAULT_EXTIF="ppp0" für ADSL.

Wie startest du die Einwahl?

Sloter

[Dim]

Vielen Dank!
Leider hilft dein Tipp nicht viel -> ich habe das gleiche Problem, wie vorher!!!

Nun, ich habe mich ziemlich andie WCM-Anleitug gehalten, bis auf den pptp-Treiber, da habe mich an die Austrian ASDL HowTO gehalten, und den pptp 1.1.0.1 genommen!

Wer weiß Rat???

[Sloter]

Was funktioniert eigentlich nicht?
Die Einwahl?
Was kommt für eine Meldung wenn du die FW startest?

Sloter

[Dim]

Ich kann mich problemlos einwählen, surfen etc., solangedie Firewall DOWN ist. Wenn ich diese einschalte werden die bestehenden Verbindungen einfach gekappt, bzw. kann ich keine neue Verbindung herstellen!

Meine Konfiguration:

eth0 - 10.0.0.140
eth1 - 192.168.111.1
ppp0 - 111.111.111.111 (meine IP)

alcatel - 10.0.0.138

Wenn ich die FW bei laufender Verbindung starte, kommt folgende Meldung:
========================================

Code:

Mar  6 22:44:04 debian pppd[615]: Using interface ppp0
Mar  6 22:44:04 debian pppd[615]: Connect: ppp0 <--> /dev/pts/0
Mar  6 22:44:07 debian pppd[615]: local  IP address 111.111.111.111
Mar  6 22:44:07 debian pppd[615]: remote IP address 111.111.111.1
Mar  6 22:48:11 debian kernel: ip_tables: (C) 2000-2002 Netfilter core team
Mar  6 22:48:11 debian kernel: ip_conntrack (512 buckets, 4096 max)
Mar  6 22:48:17 debian kernel: fp=TCP:1 a=DROP IN= OUT=eth0 SRC=10.0.0.140 DST=10.0.0.138 LEN=68 TOS=0x00 PREC=0x00 TTL=64 ID=0 PROTO=TCP SPT=1053 DPT=1723 WINDOW=6500 RES=0x00 ACK PSH URGP=0 
Mar  6 22:48:17 debian kernel: fp=TCP:1 a=DROP IN= OUT=eth0 SRC=10.0.0.140 DST=10.0.0.138 LEN=100 TOS=0x00 PREC=0x00 TTL=64 ID=0 PROTO=TCP SPT=1053 DPT=1723 WINDOW=6500 RES=0x00 ACK PSH URGP=0 
Mar  6 22:48:19 debian last message repeated 2 times
Mar  6 22:48:19 debian kernel: fp=TCP:1 a=DROP IN= OUT=eth0 SRC=10.0.0.140 DST=10.0.0.138 LEN=100 TOS=0x00 PREC=0x00 TTL=64 ID=0 PROTO=TCP SPT=1053 DPT=1723 WINDOW=6500 RES=0x00 ACK PSH FIN URGP=0 
Mar  6 22:48:19 debian pppd[615]: Hangup (SIGHUP)
Mar  6 22:48:19 debian pppd[615]: Modem hangup
Mar  6 22:48:19 debian pppd[615]: Connection terminated.
Mar  6 22:48:19 debian pppd[615]: Connect time 4.3 minutes.
Mar  6 22:48:19 debian pppd[615]: Sent 58955 bytes, received 105220 bytes.
Mar  6 22:48:19 debian pppd[615]: Exit.

Daraufhin habe ich probiert:
$IPTABLES -A INPUT -i eth0 -p 47 -j ACCEPT
$IPTABLES -A INPUT -i eth0 -p tcp --sport 1723 -j ACCEPT
hinzuzufügen (natürlich auch für Output & Forward).

Dann funktioniert die Verbindung, und ich kann (zumindest) eine kurze Zeit lang weitersurfen.

[Dim]

KLEINE KORREKTUR:

folgendes habe ich nun in das FW-Skript (alternatives) eingetragen!

$IPTABLES -A INPUT -i eth0 -p 47 -j ACCEPT
$IPTABLES -A INPUT -i eth0 -p tcp --sport 1723 -j ACCEPT

und

$IPTABLES -A OUTPUT -o $ADSL -p 47 -j ACCEPT
$IPTABLES -A OUTPUT -o $ADSL -p tcp --sport 1723 -j ACCEPT

nichts für forward!!!


Dann fuktioniert zwar alles, aber ich bekomme ich folgende Meldung:

Code:

Mar  6 23:00:08 debian pppd[1021]: pppd 2.4.1 started by root, uid 0
Mar  6 23:00:08 debian pppd[1021]: Using interface ppp0
Mar  6 23:00:08 debian pppd[1021]: Connect: ppp0 <--> /dev/pts/0
Mar  6 23:00:11 debian pppd[1021]: local  IP address 111.111.111.111
Mar  6 23:00:11 debian pppd[1021]: remote IP address 111.111.111.1
Mar  6 23:00:23 debian kernel: fp=TCP:1 a=DROP IN= OUT=eth0 SRC=10.0.0.140 DST=10.0.0.138 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=0 PROTO=TCP SPT=32778 DPT=1723 WINDOW=6656 RES=0x00 ACK URGP=0 
Mar  6 23:00:23 debian kernel: fp=TCP:1 a=DROP IN= OUT=eth0 SRC=10.0.0.140 DST=10.0.0.138 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=0 PROTO=TCP SPT=32778 DPT=1723 WINDOW=6656 RES=0x00 ACK PSH URGP=0 
Mar  6 23:00:52 debian last message repeated 24 times

Leider komme ich damit nicht ganz klar! Was habe ich falsch gemacht??? Ich bin kein IPtables-Profi! Sind meine Änderungen überhaupt empfehlenswert???

Danke
Dim

[Sloter]

Extern gehst du nicht über die Nic sondern über ppp0.
Das ist etwas verwirrend, aber ist so

Verwende bitte einmal das "originale" Script ohne Änderungen.
http://www.wcm.at/downloads/wcm182/wcmfirewall.txt
Das ist für ADSL hergerichtet.

Wenn dein Kernel Fehlermeldung ausspuckt bezüglich fehlende Module
Kreuze die Section #----Flood Variables-----# aus.

Starte noch die Einwahl mit dem Zusatz 10.0.0.140

Sloter

[Dim]

Original-Skript ohne Änderungen installiert...
DEF_INT_IF: eth1
DEF_EXT_IF: ppp0

=> geht, wie vorher schon, gar nix


"pptp alcatel 10.0.0.140" funktioniert leider auch nicht, da man anscheinend nur ein argument übergeben darf, ich bekomme nämlich immer nur die Optionsliste von pppd ausgegeben (so als hätte ich "pppd --help" eingegeben)

die firewall DROPt immer noch die Verbindung zwischen eth0 (10.0.0.140) und ppp0 (10.0.0.138 = alcatel)
was nun???

Dim

PS:
ppp ... Version 2.4.1
pptp ... Version 1.1.0 - 1

[wbendl]

anscheinend hast du das gleiche problem wie ich.

ich habe darüber unter "online mit adsl" gestern in diesem forum geschrieben.

das problem scheint zu schein, daß es 3 interfaces gibt:
eth0
eth1
ppp0

die firewall ist nur für 2 interfaces gedacht, vobei das externe auf jenen fall ppp0 sein muß.

als lösung habe ich ebenfalls einträge im firewallscript eingefügt.
alles scheint zu funktionieren.

die andere lösung ist laut SLOTER eine netzwerkkarte zu entfernen.
habe ich nicht ausprobiert.

ich bin mit dem thema nicht so gut vertraut, darum weiß ich nicht,
was die bessere lösung ist.

WB

[Sloter]

Startet die Firewall ohne Fehlermeldung?

Sloter