Iptables - Fehler in OUTPUT chain?

Steli · 06.08.2002, 22:50

Ein Grüssi an die Gurus!

Leute, ich bin grad a bisserl am verzweifeln mit meiner Firewall/Router Gurke...

Ich hab als Attachment einen Auszug aus "iptables -vL" angehängt. Da sieht man das Interface eth1 (ist das ausgehende Richtung INET, auch Default GW), bei dem laut Config jedlicher Traffic ausgehend erlaubt sein sollte, das spielts mir aber nicht. z.B: nslookup geht nicht, das bleibt alles beim LOG Eintrag in der OUTPUT chain hängen, der Log Eintrag dafür sieht dann so aus:

Aug 6 21:39:17 firewall kernel: FW DROP OUTPUT: IN= OUT=eth1 SRC=XXX_meineIP_XXX DST=217.196.64.11 LEN=71 TOS=0x00 PREC=0x00 TTL=64 ID=41541 DF PROTO=UDP SPT=1027 DPT=53 LEN=51

Kann vielleicht einer mit etwas mehr Hirn als ich mal einen Blick auf die Iptables.txt werfen und mir den Fehler sagen?

Wär mir ein Volksfest...

cheers,
Steli

quaylar · 06.08.2002, 23:34

Dazu braucht man doch gar nicht soviel Hirn *g*
Und Guru bin ich auch keiner, aber sieh doch mal :

Das hier sind alle ACCEPT Rules in der OUTPUT chain :

12 1180 ACCEPT all -- any lo anywhere anywhere
0 0 ACCEPT all -- any eth0 212.196.73.2 10.10.10.0/24
24 10456 ACCEPT all -- any eth0 10.10.10.0/24 10.10.10.0/24
0 0 ACCEPT all -- any eth1 212.196.73.2 anywhere
0 0 ACCEPT udp -- any eth1 212.196.73.2 anywhere

Nur 2 davon gehen über dein eth1 Interface, und keine von beiden lässt Traffic auf deine Nameserver zu - logisch dass es das nicht gehen kann oder ?
Denn damit tritt deine Chain policy - in diesem Fall DROP - in Kraft.

Wieso setzt du die OUTPUT chain Policy nicht auf ACCEPT ?
Sicher ist DROP paranoider, aber dann wird dein ruleset schon ein wenig komplizierter...

Setz sie halt auf ACCEPT und blockier die Ports der well-known Trojans, damit hast auch schon viel getan.

Ansonsten - sieh dir mal iptables Beispielscripts aus dem Internet a (Suchfunktion des Forums benutzen, ich kann mich erinnern dass da irgendwo schon auf einige Seiten verlinkt wurde).

--qu

Steli · 06.08.2002, 23:54

Hei!

Na ja, eigentlich hab ichs so verstanden, dass die 4 te Zeile
in der OUTPUT chain sagt: Lass jedes Protokoll auf eth1, IP 212.196.73.2 in Richtung 0.0.0.0/0 zu... Damit sollt eh alles ausgehende offen sein.

Zum Thema Beispiel-Script schauts so aus, daß das eigentich
das STRONG script von der IP Masquerading HOWTO ist.

cheers,
Steli

(Nein Herr Doktor, ich bin gar nicht Paranoid..... huch, is da jemand hinter mir???... uiii, is des a schöne Jacke, nur bewegen kann ich mich da so schlecht.... baaa, de Wänd san aus Gummi .... dagegenspring....uahahahahaha ...

)

valo · 07.08.2002, 00:23

i bin zwar kein ipt guru (bei weitem nicht

) aber:

was wenn du in deinen rules umstellest, dass bei source nicht die ip adresse sondern any steht... gehts dann?

quaylar · 07.08.2002, 00:38

Aja - du hast recht, hab ich übersehen...

>SRC=XXX_meineIP_XXX

Welche IP steht hier drinnen ? Dieselbe wie in der iptables rule die alles ausgehende durchlässt ?

Hast du eine statische oder dynamische IP ?

wenn dynamisch - is klar dass nicht geht....

--qu

Steli · 07.08.2002, 08:33

Guten Morgen!

@quaylar: Ich hab ne fixe IP, das ist die selbe die nach aussen
alles durchlässt

@valo: das werd ich mal probieren, wenn ich Zuhaus bin (muss hackeln...).

Vielen Dank,
Steli

06.08.2002, 22:50	#1
Steli Jr. Member Registriert seit: 19.11.2001 Alter: 47 Beiträge: 36	Iptables - Fehler in OUTPUT chain? Ein Grüssi an die Gurus! Leute, ich bin grad a bisserl am verzweifeln mit meiner Firewall/Router Gurke... Ich hab als Attachment einen Auszug aus "iptables -vL" angehängt. Da sieht man das Interface eth1 (ist das ausgehende Richtung INET, auch Default GW), bei dem laut Config jedlicher Traffic ausgehend erlaubt sein sollte, das spielts mir aber nicht. z.B: nslookup geht nicht, das bleibt alles beim LOG Eintrag in der OUTPUT chain hängen, der Log Eintrag dafür sieht dann so aus: Aug 6 21:39:17 firewall kernel: FW DROP OUTPUT: IN= OUT=eth1 SRC=XXX_meineIP_XXX DST=217.196.64.11 LEN=71 TOS=0x00 PREC=0x00 TTL=64 ID=41541 DF PROTO=UDP SPT=1027 DPT=53 LEN=51 Kann vielleicht einer mit etwas mehr Hirn als ich mal einen Blick auf die Iptables.txt werfen und mir den Fehler sagen? Wär mir ein Volksfest... cheers, Steli

06.08.2002, 23:34	#2
quaylar Hero Registriert seit: 28.09.2001 Beiträge: 940	Dazu braucht man doch gar nicht soviel Hirn g Und Guru bin ich auch keiner, aber sieh doch mal : Das hier sind alle ACCEPT Rules in der OUTPUT chain : 12 1180 ACCEPT all -- any lo anywhere anywhere 0 0 ACCEPT all -- any eth0 212.196.73.2 10.10.10.0/24 24 10456 ACCEPT all -- any eth0 10.10.10.0/24 10.10.10.0/24 0 0 ACCEPT all -- any eth1 212.196.73.2 anywhere 0 0 ACCEPT udp -- any eth1 212.196.73.2 anywhere Nur 2 davon gehen über dein eth1 Interface, und keine von beiden lässt Traffic auf deine Nameserver zu - logisch dass es das nicht gehen kann oder ? Denn damit tritt deine Chain policy - in diesem Fall DROP - in Kraft. Wieso setzt du die OUTPUT chain Policy nicht auf ACCEPT ? Sicher ist DROP paranoider, aber dann wird dein ruleset schon ein wenig komplizierter... Setz sie halt auf ACCEPT und blockier die Ports der well-known Trojans, damit hast auch schon viel getan. Ansonsten - sieh dir mal iptables Beispielscripts aus dem Internet a (Suchfunktion des Forums benutzen, ich kann mich erinnern dass da irgendwo schon auf einige Seiten verlinkt wurde). --qu ____________________________________ Those who desire to give up Freedom in order to gain Security, will not have, nor do they deserve, either one. -- Benjamin Franklin

07.08.2002, 00:23	#4
valo Inventar Registriert seit: 15.11.2000 Alter: 43 Beiträge: 7.684	i bin zwar kein ipt guru (bei weitem nicht ) aber: was wenn du in deinen rules umstellest, dass bei source nicht die ip adresse sondern any steht... gehts dann? ____________________________________ Yeah, yo mama dresses you funny and you need a mouse to delete files. Jabber-ID: valo [at] cargal \'.\' org Infected Mushroom and Barri Saharof - Live in Eilat Desert Israel 24-10-2002 ASY*S - SSL-Pickup 21-10-2002 Dj Tiesto - Forbidden Paradise 8/Mystic Swamp

07.08.2002, 00:38	#5
quaylar Hero Registriert seit: 28.09.2001 Beiträge: 940	Aja - du hast recht, hab ich übersehen... >SRC=XXX_meineIP_XXX Welche IP steht hier drinnen ? Dieselbe wie in der iptables rule die alles ausgehende durchlässt ? Hast du eine statische oder dynamische IP ? wenn dynamisch - is klar dass nicht geht.... --qu ____________________________________ Those who desire to give up Freedom in order to gain Security, will not have, nor do they deserve, either one. -- Benjamin Franklin

06.08.2002, 23:54	#3
Steli Jr. Member Registriert seit: 19.11.2001 Alter: 47 Beiträge: 36	Hei! Na ja, eigentlich hab ichs so verstanden, dass die 4 te Zeile in der OUTPUT chain sagt: Lass jedes Protokoll auf eth1, IP 212.196.73.2 in Richtung 0.0.0.0/0 zu... Damit sollt eh alles ausgehende offen sein. Zum Thema Beispiel-Script schauts so aus, daß das eigentich das STRONG script von der IP Masquerading HOWTO ist. cheers, Steli (Nein Herr Doktor, ich bin gar nicht Paranoid..... huch, is da jemand hinter mir???... uiii, is des a schöne Jacke, nur bewegen kann ich mich da so schlecht.... baaa, de Wänd san aus Gummi .... dagegenspring....uahahahahaha ... )

07.08.2002, 08:33	#6
Steli Jr. Member Registriert seit: 19.11.2001 Alter: 47 Beiträge: 36	Guten Morgen! @quaylar: Ich hab ne fixe IP, das ist die selbe die nach aussen alles durchlässt @valo: das werd ich mal probieren, wenn ich Zuhaus bin (muss hackeln...). Vielen Dank, Steli

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)