firewall probleme

joo · 25.02.2003, 20:56

hi!

hab ein kleines problem mit der firewall vom
wcm-server!

folgendes: fw lässt sich problemlos starten,
allerdings killt mir die fw innerhalb kurzer
zeit meine internet-connection!!!

hab folgende log messages:
Feb 25 19:01:01 xyz pppd[707]: pppd 2.4.1 started by root, uid 0
Feb 25 19:01:01 xyz pppd[707]: Using interface ppp0
Feb 25 19:01:01 xyz pppd[707]: Connect: ppp0 <--> /dev/pts/4
Feb 25 19:01:05 xyz pppd[707]: local IP address x.x.x.x
Feb 25 19:01:05 xyz pppd[707]: remote IP address x.x.x.x
cFeb 25 19:06:35 xyz kernel: fp=TCP:1 a=DROP IN= OUT=eth0 SRC=10.0.0.140 DST=10.0.0.138 LEN=68 TOS=0x00 PREC=0x00 TTL=64 ID=0 PROTO=TCP SPT=
1049 DPT=1723 WINDOW=6500 RES=0x00 ACK PSH URGP=0
Feb 25 19:06:35 xyz kernel: fp=TCP:1 a=DROP IN= OUT=eth0 SRC=10.0.0.140 DST=10.0.0.138 LEN=100 TOS=0x00 PREC=0x00 TTL=64 ID=0 PROTO=TCP SPT=
1049 DPT=1723 WINDOW=6500 RES=0x00 ACK PSH URGP=0
Feb 25 19:06:36 xyz last message repeated 2 times
Feb 25 19:06:36 xyz pppd[707]: Hangup (SIGHUP)
Feb 25 19:06:36 xyz pppd[707]: Modem hangup
Feb 25 19:06:36 xyz pppd[707]: Connection terminated.
Feb 25 19:12:01 xyz pppd[1131]: Connect time 0.6 minutes.
Feb 25 19:12:01 xyz pppd[1131]: Sent 450 bytes, received 3142 b

hat von euch wer ne ahnung was das für 2 messages sind die hier die
fw veranlassen meine pptp verbindung zu kappen!?!?

thx im voraus

joo

K@sperl · 25.02.2003, 22:01

Beim WCM Firewall Skript läßt du nur connections nach außen zu welche als Zielport unprivilgierte Ports haben, aber anscheinend braucht die ADSL Verbindung auch Ports < 1024.
Bei deinem Log fehlt auch noch SPT=... DPT=... paste mal das vollständige Log rein, also auch mit SPT und DPT.

Einfachste Lösung wäre vor der letzten iptables Regel in der Output Chain folgendes reinzuschreiben:
$IPTABLES -A OUTPUT -d 10.0.0.138 -j ACCEPT

edit:
Probier mal bei folgenden Zeilen in der Output chain "-s $EXTIP" zu löschen:

Code:

##Accept all tcp/udp traffic on unprivileged ports going out
  $IPTABLES -A OUTPUT -o $EXTIF -s $EXTIP -p tcp --sport $UNPRIVPORTS -j ACCEPT
  $IPTABLES -A OUTPUT -o $EXTIF -s $EXTIP -p udp --sport $UNPRIVPORTS -j ACCEPT

joo · 25.02.2003, 22:50

ups! hier das ganze log.

Feb 25 21:24:50 xyz kernel: fp=TCP:1 a=DROP IN= OUT=eth0 SRC=10.0.0.140 DST=10.0.0.138 LEN=100 TOS=0x00 PREC=0x00 TTL=64 ID=11776
PROTO=TCP SPT=1033 DPT=1723 WINDOW=6500 RES=0x00 ACK PSH FIN URGP=0

nur connections welche als zielport unpriviligierte ports haben sind erlaubt? aber dann wäre ja http,ftp,pop3 etc.(<1024) gesperrt, oder hab ich da jetzt was falsch verstanden!?

wofür steht eigentlich SPT und DPT?

kannst du vielleicht eine andere (bessere) firewall empfehlen?
hab mir mal lutel angschaut! hatte dort aber dasselbe problem!
--> http://energoprojekt.pl/~lutel/firewall

thx

joo

K@sperl · 25.02.2003, 22:54

Sorry, meinte natürlich nur Connections welche als QUELLport > 1024 haben sind erlaubt.

SPT: Source-Port (Quellport)
DPT: Destination-Port (Zielport)

Hast du mal das "-s $EXTIP" gelöscht und probiert ob's geht?

Ich würde dir kein anderes Firewall-Skript empfehlen, da dieses wirklich sehr gut ist.

joo · 25.02.2003, 23:13

hab gerade beides ausprobiert, leider wird noch
immer die verbindung gekappt!

danke für deine hilfe.

joo

K@sperl · 25.02.2003, 23:21

Hm, momentan fällt mir nix anderes ein als das was ich in meinem zweiten Posting geschrieben habe, also
$IPTABLES -A OUTPUT -o $EXTIF -d 10.0.0.138 -j ACCEPT

vor der letzten Regel in der Output Chain einfügen.

25.02.2003, 20:56	#1
joo Newbie Registriert seit: 25.02.2003 Alter: 45 Beiträge: 8	firewall probleme hi! hab ein kleines problem mit der firewall vom wcm-server! folgendes: fw lässt sich problemlos starten, allerdings killt mir die fw innerhalb kurzer zeit meine internet-connection!!! hab folgende log messages: Feb 25 19:01:01 xyz pppd[707]: pppd 2.4.1 started by root, uid 0 Feb 25 19:01:01 xyz pppd[707]: Using interface ppp0 Feb 25 19:01:01 xyz pppd[707]: Connect: ppp0 <--> /dev/pts/4 Feb 25 19:01:05 xyz pppd[707]: local IP address x.x.x.x Feb 25 19:01:05 xyz pppd[707]: remote IP address x.x.x.x cFeb 25 19:06:35 xyz kernel: fp=TCP:1 a=DROP IN= OUT=eth0 SRC=10.0.0.140 DST=10.0.0.138 LEN=68 TOS=0x00 PREC=0x00 TTL=64 ID=0 PROTO=TCP SPT= 1049 DPT=1723 WINDOW=6500 RES=0x00 ACK PSH URGP=0 Feb 25 19:06:35 xyz kernel: fp=TCP:1 a=DROP IN= OUT=eth0 SRC=10.0.0.140 DST=10.0.0.138 LEN=100 TOS=0x00 PREC=0x00 TTL=64 ID=0 PROTO=TCP SPT= 1049 DPT=1723 WINDOW=6500 RES=0x00 ACK PSH URGP=0 Feb 25 19:06:36 xyz last message repeated 2 times Feb 25 19:06:36 xyz pppd[707]: Hangup (SIGHUP) Feb 25 19:06:36 xyz pppd[707]: Modem hangup Feb 25 19:06:36 xyz pppd[707]: Connection terminated. Feb 25 19:12:01 xyz pppd[1131]: Connect time 0.6 minutes. Feb 25 19:12:01 xyz pppd[1131]: Sent 450 bytes, received 3142 b hat von euch wer ne ahnung was das für 2 messages sind die hier die fw veranlassen meine pptp verbindung zu kappen!?!? thx im voraus joo

25.02.2003, 22:01	#2
K@sperl bitte Mailadresse prüfen! Registriert seit: 03.04.2001 Beiträge: 2.387	Beim WCM Firewall Skript läßt du nur connections nach außen zu welche als Zielport unprivilgierte Ports haben, aber anscheinend braucht die ADSL Verbindung auch Ports < 1024. Bei deinem Log fehlt auch noch SPT=... DPT=... paste mal das vollständige Log rein, also auch mit SPT und DPT. Einfachste Lösung wäre vor der letzten iptables Regel in der Output Chain folgendes reinzuschreiben: $IPTABLES -A OUTPUT -d 10.0.0.138 -j ACCEPT edit: Probier mal bei folgenden Zeilen in der Output chain "-s $EXTIP" zu löschen: Code: ##Accept all tcp/udp traffic on unprivileged ports going out $IPTABLES -A OUTPUT -o $EXTIF -s $EXTIP -p tcp --sport $UNPRIVPORTS -j ACCEPT $IPTABLES -A OUTPUT -o $EXTIF -s $EXTIP -p udp --sport $UNPRIVPORTS -j ACCEPT

25.02.2003, 22:50	#3
joo Newbie Registriert seit: 25.02.2003 Alter: 45 Beiträge: 8	ups! hier das ganze log. Feb 25 21:24:50 xyz kernel: fp=TCP:1 a=DROP IN= OUT=eth0 SRC=10.0.0.140 DST=10.0.0.138 LEN=100 TOS=0x00 PREC=0x00 TTL=64 ID=11776 PROTO=TCP SPT=1033 DPT=1723 WINDOW=6500 RES=0x00 ACK PSH FIN URGP=0 nur connections welche als zielport unpriviligierte ports haben sind erlaubt? aber dann wäre ja http,ftp,pop3 etc.(<1024) gesperrt, oder hab ich da jetzt was falsch verstanden!? wofür steht eigentlich SPT und DPT? kannst du vielleicht eine andere (bessere) firewall empfehlen? hab mir mal lutel angschaut! hatte dort aber dasselbe problem! --> http://energoprojekt.pl/~lutel/firewall thx joo

25.02.2003, 22:54	#4
K@sperl bitte Mailadresse prüfen! Registriert seit: 03.04.2001 Beiträge: 2.387	Sorry, meinte natürlich nur Connections welche als QUELLport > 1024 haben sind erlaubt. SPT: Source-Port (Quellport) DPT: Destination-Port (Zielport) Hast du mal das "-s $EXTIP" gelöscht und probiert ob's geht? Ich würde dir kein anderes Firewall-Skript empfehlen, da dieses wirklich sehr gut ist.

25.02.2003, 23:13	#5
joo Newbie Registriert seit: 25.02.2003 Alter: 45 Beiträge: 8	hab gerade beides ausprobiert, leider wird noch immer die verbindung gekappt! danke für deine hilfe. joo

25.02.2003, 23:21	#6
K@sperl bitte Mailadresse prüfen! Registriert seit: 03.04.2001 Beiträge: 2.387	Hm, momentan fällt mir nix anderes ein als das was ich in meinem zweiten Posting geschrieben habe, also $IPTABLES -A OUTPUT -o $EXTIF -d 10.0.0.138 -j ACCEPT vor der letzten Regel in der Output Chain einfügen.

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)