warum werden testpakete (ipchains -C.....) von der firewall abgelehnt, obwohl
in den chains regeln stehen, die ein solches paket accepten würden???
beispiel:
Chain output (policy REJECT):
target prot opt source destination ports
ACCEPT udp ------ offizielle-IP 132.187.1.1 1024:65535 -> 53
diese reglen müsste eine dns-anfrage (port 53) aus dem lokalen netz an den dns-server (132.187.1.1) rauslassen,
Chain input (policy DENY):
target prot opt source destination ports
ACCEPT udp ------ 132.187.1.1 offizielle-IP 53 -> 1024:65535
und diese regel müsste doch die antwort zurück ins lokale netz lassen?!
der pakettest mit
ipchains -C output -p udp -s offizielle-IP --source-port 33333 -d 132.187.1.1 --destination-port 53
ergibt aber ein reject????
es gibt keine regeln in den beiden chains, die davor plaziert sind, und die selben pakete verhindern!
wer kennt weitere testmöglichkeiten, gründe...???
wie kann ich herausfinden, welche regel genau ein paket rejected/denied oder accepted hat???
mfg und danke, müsli
firewall rejected alles obwohl die regeln dagegen sprechen
-
nano
Re: firewall rejected alles obwohl die regeln dagegen sprechen
Hi müsli,
>wie kann ich herausfinden, welche regel genau ein paket rejected/denied oder accepted hat???
wenn du die abgelehnten Pakete loggen läßt, dann steht in /var/log/messages welche Regel für das rejecten verantwortlich war.
Oder du entfernst testhalber einfach mal alle anderen Regeln und führst sie schrittweise wieder ein. Dann siehtst du woran es hakt.
Gruß,
nano
>wie kann ich herausfinden, welche regel genau ein paket rejected/denied oder accepted hat???
wenn du die abgelehnten Pakete loggen läßt, dann steht in /var/log/messages welche Regel für das rejecten verantwortlich war.
Oder du entfernst testhalber einfach mal alle anderen Regeln und führst sie schrittweise wieder ein. Dann siehtst du woran es hakt.
Gruß,
nano
-
scamy
Re: firewall rejected alles obwohl die regeln dagegen sprechen
re muesli !
kann auch nicht gehen ! du verweckselst dein netzwerk(clients) und deinem Gateway ! deswegen funktioniert
das nicht ! Deine ipchains regel ist schon richtig ! nur funktioniert sie nicht fuer dein netzwerk !
Du must erstmal forwarding /NAT aktivieren ! und dann machst du :
ipchains -C output -p udp -s 0.0.0.0 --source-port 33333 -d <ip nameserver> --destination-port 53
plus die regeln fuer NAT ! !!!
und dann sollte das auch funktionieren !
ach ja und wenn du auf iptables umsteigst ...dann funktioniert der ganze kram nochmal anders ;=)))
(linux macht echt laune ! ;=)
cu !
viel spass noch !
kann auch nicht gehen ! du verweckselst dein netzwerk(clients) und deinem Gateway ! deswegen funktioniert
das nicht ! Deine ipchains regel ist schon richtig ! nur funktioniert sie nicht fuer dein netzwerk !
Du must erstmal forwarding /NAT aktivieren ! und dann machst du :
ipchains -C output -p udp -s 0.0.0.0 --source-port 33333 -d <ip nameserver> --destination-port 53
plus die regeln fuer NAT ! !!!
und dann sollte das auch funktionieren !
ach ja und wenn du auf iptables umsteigst ...dann funktioniert der ganze kram nochmal anders ;=)))
(linux macht echt laune ! ;=)
cu !
viel spass noch !