ipchains nach iptables konvertieren (ntp prob)

[sourcehunter]

Hi all,

ich bin grad dabei bei meiner Firmer den Server vom Kernel 2.2.19 auf 2.4.8 umzustellen, unter anderem stelle ich von ipchains nach iptables um.
Hier ist eine Regel die ich nicht weis, wie ich die zu konvertieren habe (kleiner Ausschnitt):
EXTERNAL_INTERFACE="eth1"
IPADDR="192.168.0.99"
UNPRIVPORTS="1024:65535"

ipchains -A output -i $EXTERNAL_INTERFACE -p udp -s $IPADDR $UNPRIVPORTS -d IP.des_Timeservers 123 -j ACCEPT
ipchains -A input -i $EXTERNAL_INTERFACE -p udp -s IP.des_Timeservers 123 -d $IPADDR $UNPRIVPORTS -j ACCEPT

Dies benötige ich, weil der Server per Client auf einen TimeServer (ntp) zugreifen muss!
Hoffe jmd kennt eine Lösung dafür!

cYa SourceHunter

PS: die Firma dankt

[Sebastian Ude]

Das sollte nicht so aufwendig sein:


Erstens werden die Default-Chains bei iptables im Gegensatz zu ipchains gross geschrieben, also "INPUT", "OUTPUT" und "FORWARD" statt "input", "output" und "forward".

Zweitens bedeutet "-i" nicht mehr nur Interface, sondern "Input Interface" und "-o" entsprechend nun "Output Interface"; folglich müsste in der zweiten Regel das "-i" durch "-o" ersetzt werden.

Drittens werden Portranges bei TCP oder UDP jetzt über "--source-port" / "--sport" und "--destination-port" / "--dport" angegeben.

( Für näheres Lies mal das Packet-Filtering-HOWTO: <a href="http://www.netcologne.de/~meberg/netfilter/" target="_blank"><!--auto-->http://www.netcologne.de/~meberg/netfil ... <!--auto--> )


Demnach müssten, wenn ich noch halbwegs klar denken kann, deine beiden Regeln für iptables so aussehen:

iptables -A OUTPUT -o $EXTERNAL_INTERFACE -p udp -s $IPADDR --sport $UNPRIVPORTS -d IP.des_Timeservers --dport 123 -j ACCEPT

iptables -A INPUT -i $EXTERNAL_INTERFACE -p udp -s IP.des_Timeservers --sport 123 -d $IPADDR --dport $UNPRIVPORTS -j ACCEPT


> PS: die Firma dankt

Richtig.

Mit welcher Summe nochmal <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle"> ?

[Sebastian Ude]

> folglich müsste in der zweiten Regel das
> "-i" durch "-o" ersetzt werden.

Sollte "[...] in der _ersten_ Regel [...]" heissen ...

[sourcehunter]

*bg*
haben wir da was ausgemacht *g* :p

Naja nu hab ich des ja kapiert mit dem "Übersetzen"

Nur leider blockt er mir immer noch den Client

cYa SourceHunter

[Max]

sollte nicht eigentlich dann dein NTP-Client statt hohe Ports nicht ebenfalls Port 123 nutzen?
Also Client_IP 123 <-> Server_IP 123 ???
Aber genau weiss ich es selbst nicht.
Habe selbst Probleme mit NTP über Firewall.
Ich habe NT-Server die aus privaten Netz hinaus auf einen NTP Server zugreifen sollen.
(timeserv)
Leider fange ich Anfragen von den NT-Kisten auf Port 37 ab???
Weiss jemand was dazu?
Gruss Max

[Sebastian Ude]

Ich hab mich jetzt auch noch nicht genauer mit den bei NTP benutzten (oder auch nicht benutzten) Ports befasst.


@ SourceHunter

Hat es denn früher mit den oben von dir genannten ipchains-Regeln geklappt ?

[SourceHunter]

*g* ich hab ka, hab des mal aus nem buch abgetippt und angeblich sollte des damit dann funzen! naja auch egal, muss halt immer die firewall runterfahren, updaten und dann wieder hochfahren (geht ja per script in en paar sekunden und hosts.deny und allow sind ja dann auch noch da )

cYa SourceHunter

[Sebastian Ude]

Ich merke schon, ihr in eurer Firma legt sehr viel Wert auf saubere Lösungen ("Ach, wird halt eben mal die Firewall runtergefahren ...") <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">.

[SourceHunter]

*bbggg* naja wir machen halt keinen scheiss, keine halben sachen, NUR gutes

ne im ernst, ich werd schon schauen, dass ich des in den griff bekomme

[Rossi]

Warum wilst Du die ports über 1024 extra freigeben ?

Je nach Firewall Design brauchst Du den ausgehenden ntp transfer nicht mal angeben. Wen Grundsätzlich jeder ausgehende Verkehr erlaubt ist (oder nur wenige Ports gesperrt sind, die explizit verboten werden), langt ein

iptables -A INPUT -i $EIF -m state --state ESTABLISHED -J ACCEPT
iptables -A INPUT -j DROP

Damit werden nur Verbindungen erlaubt, die vom internen Netz initiiert wurden. Verbindungen von außen (wie z.B. webserver) müssten extra freigegeben werden.

Sollte die default policy der OUTPUT Kette auf deny stehen, so hilft ein

iptables -A OUTPUT -p upd -d $TIMESRVIP --dport 123 -o $EIF -m state --state NEW -J ACCEPT

um Anfragen auf einen ntp Server zu erlauben. Da Linux auch udp stateful behandeln kann, würde mit obiger INPUT Kette auch die Antwort vom ntp Server durchgelassen.

[Rossi]

Kleine Korrektur:

iptables -A INPUT -i $EIF -j DROP

[SourceHunter]

THX an alle!!!!!!!!

iptables -A INPUT -i $INTERNET_INTERFACE -p udp -s $TIMESERVER --sport 123 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o $INTERNET_INTERFACE -p udp -d $TIMESERVER --dport 123 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

des funzt nun bei mir

cYa SourceHunter

PS: als default sind bei mir alles gespert sprich iptables -P INPUT DROP und OUTPUT DROP

[Rossi]

Die Stati (wassn die Mehrzahl von Status ?) "Established" und "Related" kannst Du aus der Output Kette rausnehmen ... ntp hat keine "related" Protokolle (wie z.B. der Kontroll Kanal bei FTP) und "established" erübrigt sich, da die Ausgehende Verbindung eh diejenige ist, die die Verbindung initiiert hat.

Der eigentlich spannende Teil ist, wieso hast Du in der Input Kette --sport=123 ? Ist bei ntp definitiv Sender- und Empfängerport immer 123 ? (Scheint so, weil es ja hinhaut bei Dir).