Update von IPTABLES

[quaylar]

@ arte :

Danke dir für deine Erklärung - habs jetzt verstanden...

@ ulraich :

versuch DEFAULT_INTIF auf eth1 zu setzen wie excal sagte, weiß schon warum das Kommando nicht ging, hab diese catch-all rule fürs local net übersehen :

$IPTABLES -A INPUT -s $INTLAN -j LREJECT

Damit war meine rule nutzlos.....



--qu

[quaylar]

@arti

Ich hab ihm die gesagt - sollte eine quick n´dirty Lösung sein um dem lokalen Netz den Zugriff zur Linux Box zu gewähren.
Ging aber aus genanntem Grund nicht, da war eine Rule noch vor dieser die die Pakete bereits ablehnte.

--qu

[Excalibur33]

@Ulraich:
Wennst mit der FW probieren willst, gib nach dem stoppen der FW ein:
iptables -F

Damit bewirkst du ein Löschen der IP-Regeln der FW!
Ansonsten hast schon probiert, wie ich es dir vormittag gepostet hab?
ich würd gern wissen, ob du eine Verbindung kriegst ohne FW vom Win über Linux!
mfg Excalibur

[quaylar]

Wenn er die firewall stopped, werden die Rules automatisch geflusht..>>>

case "$1" in
stop)
echo "Shutting down firewall..."
$IPTABLES -F
$IPTABLES -F -t mangle
$IPTABLES -F -t nat
$IPTABLES -X
$IPTABLES -X -t mangle
$IPTABLES -X -t nat

$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
echo "...done"
;;

--qu

[Excalibur33]

Ich wil nur auf Nummer sicher gehen ,bei diesem Script, und ein 2. Mal flushen, schadet nicht!
mfg

[MANX]

... hat mir die Stimmung im Linuxforum schon mal besser gefallen

@Ulraich

Irgendwann hast Du das SuSE iptables-rpm installiert, das war Version 1.2.2. Ich hab den ganzen Thread nicht so aufmerksam verfolgt (siehe oben) aber Du dürftest auch die Sourcen kompiliert haben, deshalb /usr/sbin (default bei SuSE); /usr/local/sbin => default bei tar.gz

Welche Version gibt iptables -V aus?

Manx

[Ulraich]

@MANX
V1.2.2

SO hab im script des DEFAULT_INTIF auf eth1 gesetzt. Jetzt hab ich glaube ich genau das Problem das Excalibur33 vorher schon hatte u zwar das er sobald ich die Firewall starte die Verbindung mit dem Internet abbricht:
Terminating on signal 15.
cbcp_lowerdown
Script /etc/ppp/ip-down started (pid 1100)
sent [LCP TermReq id=0x2 "User request"]
Script ?? finished (pid 892), status = 0x0
Script /etc/ppp/ip-down finished (pid 1100), status = 0x0
sent[LCP TermReq id=0x3 "User request"]
Connection terminated.
Connect time 3.2 minutes.
Sent97974 bytes, received 138720 bytes.
Couldn't release PPP unit: Inappropriate ioctl for device
(unknown)[891]: log[pptp_conn_closeptp_ctrl.c:275] Closing PPTP connection

Soll ich jetzt so vorgehen wie Excalibur oder hab ihr bessere ideen oder hab ich doch ein anderes Problem?

[Excalibur33]

@Manx:

Zitat:

hat mir die Stimmung im Linuxforum schon mal besser gefallen

mir auch, wenns meine Schuld ist tuts mir leid, is bled grennt!Aber a Wiener hat halt a Goschn, ich glaub, mir sollten des bei a paar Bier ausdiskutieren!
@Ulraich: du kannst es wenigsten probieren, wenn schon keine FW, dann kannst einstweilen surfen, und dann die VERbindung kappen,damir nix passiert!
mfgExcalibur

[Ulraich]

@Excalibur33
Wollte des mit dem:
iptables -F
Verbindung am Laufen sein;
/usr/sbin/iptables -A POSTROUTING -t nat -o ppp0 -j MASQUERADE
aber er gibt mir wieder die antwort:
iptables v1.2.2: Couldn't load target 'MASQERADE': usr/local/sbin/iptabels libipt_MASQERADE.so: cannot open shared object file: No such file or directory
???

[MANX]

@ulraich

Wenn wer kochen lernen will, beginnt er auch mit einer Eierspeis' und nicht mit einer Bouillabaisse.

Meine Meinung:

1.) Das ist jedem zumutbar, wenn nicht wird's auch nix werden.

2.) Für den Anfang, um ein LAN ins Internet zu NATten (bitte tut's ned i-tüpferlreiten mit masquerading und so ...) reicht es auf dem Router Masquerading aufzudrehen.

Code:

Quelle: http://netfilter.samba.org/unreliabl...c-4.html#ss4.1

This is what most people want. If you have a dynamically allocated IP PPP dialup 
(if you don't know, this is you), you simply want to tell your box
 that all packets coming from your internal network should be made to
 look like they are coming from the PPP dialup box. 


# Load the NAT module (this pulls in all the others).
modprobe iptable_nat

# In the NAT table (-t nat), Append a rule (-A) after routing
# (POSTROUTING) for all packets going out ppp0 (-o ppp0) which says to
# MASQUERADE the connection (-j MASQUERADE).
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

# Turn on IP forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

... und den Clients die DNS einzutragen bzw. den Router als Default Gateway

3.) Firewalling ohne zumindest Grundkenntnisse der TCP/IP Protokolle geht ned.

4.) Für basic-security reicht's von außen alle SYNs zu blockieren (auf die Gefahr hin FTP-Probs zu haben!)

So long

Manx

@excalibur

zahlst leicht ?