ipchains nach iptables konvertieren (ntp prob)
-
- Posts: 5
- Joined: 30. Aug 2001 18:58
ipchains nach iptables konvertieren (ntp prob)
Hi all,
ich bin grad dabei bei meiner Firmer den Server vom Kernel 2.2.19 auf 2.4.8 umzustellen, unter anderem stelle ich von ipchains nach iptables um.
Hier ist eine Regel die ich nicht weis, wie ich die zu konvertieren habe (kleiner Ausschnitt):
EXTERNAL_INTERFACE="eth1"
IPADDR="192.168.0.99"
UNPRIVPORTS="1024:65535"
ipchains -A output -i $EXTERNAL_INTERFACE -p udp -s $IPADDR $UNPRIVPORTS -d IP.des_Timeservers 123 -j ACCEPT
ipchains -A input -i $EXTERNAL_INTERFACE -p udp -s IP.des_Timeservers 123 -d $IPADDR $UNPRIVPORTS -j ACCEPT
Dies benötige ich, weil der Server per Client auf einen TimeServer (ntp) zugreifen muss!
Hoffe jmd kennt eine Lösung dafür!
cYa SourceHunter
PS: die Firma dankt
ich bin grad dabei bei meiner Firmer den Server vom Kernel 2.2.19 auf 2.4.8 umzustellen, unter anderem stelle ich von ipchains nach iptables um.
Hier ist eine Regel die ich nicht weis, wie ich die zu konvertieren habe (kleiner Ausschnitt):
EXTERNAL_INTERFACE="eth1"
IPADDR="192.168.0.99"
UNPRIVPORTS="1024:65535"
ipchains -A output -i $EXTERNAL_INTERFACE -p udp -s $IPADDR $UNPRIVPORTS -d IP.des_Timeservers 123 -j ACCEPT
ipchains -A input -i $EXTERNAL_INTERFACE -p udp -s IP.des_Timeservers 123 -d $IPADDR $UNPRIVPORTS -j ACCEPT
Dies benötige ich, weil der Server per Client auf einen TimeServer (ntp) zugreifen muss!
Hoffe jmd kennt eine Lösung dafür!
cYa SourceHunter
PS: die Firma dankt
Re: ipchains nach iptables konvertieren (ntp prob)
Das sollte nicht so aufwendig sein:
Erstens werden die Default-Chains bei iptables im Gegensatz zu ipchains gross geschrieben, also "INPUT", "OUTPUT" und "FORWARD" statt "input", "output" und "forward".
Zweitens bedeutet "-i" nicht mehr nur Interface, sondern "Input Interface" und "-o" entsprechend nun "Output Interface"; folglich müsste in der zweiten Regel das "-i" durch "-o" ersetzt werden.
Drittens werden Portranges bei TCP oder UDP jetzt über "--source-port" / "--sport" und "--destination-port" / "--dport" angegeben.
( Für näheres Lies mal das Packet-Filtering-HOWTO: <a href="http://www.netcologne.de/~meberg/netfilter/" target="_blank"><!--auto-->http://www.netcologne.de/~meberg/netfil ... <!--auto--> )
Demnach müssten, wenn ich noch halbwegs klar denken kann, deine beiden Regeln für iptables so aussehen:
iptables -A OUTPUT -o $EXTERNAL_INTERFACE -p udp -s $IPADDR --sport $UNPRIVPORTS -d IP.des_Timeservers --dport 123 -j ACCEPT
iptables -A INPUT -i $EXTERNAL_INTERFACE -p udp -s IP.des_Timeservers --sport 123 -d $IPADDR --dport $UNPRIVPORTS -j ACCEPT
> PS: die Firma dankt
Richtig.
Mit welcher Summe nochmal <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle"> ?
Erstens werden die Default-Chains bei iptables im Gegensatz zu ipchains gross geschrieben, also "INPUT", "OUTPUT" und "FORWARD" statt "input", "output" und "forward".
Zweitens bedeutet "-i" nicht mehr nur Interface, sondern "Input Interface" und "-o" entsprechend nun "Output Interface"; folglich müsste in der zweiten Regel das "-i" durch "-o" ersetzt werden.
Drittens werden Portranges bei TCP oder UDP jetzt über "--source-port" / "--sport" und "--destination-port" / "--dport" angegeben.
( Für näheres Lies mal das Packet-Filtering-HOWTO: <a href="http://www.netcologne.de/~meberg/netfilter/" target="_blank"><!--auto-->http://www.netcologne.de/~meberg/netfil ... <!--auto--> )
Demnach müssten, wenn ich noch halbwegs klar denken kann, deine beiden Regeln für iptables so aussehen:
iptables -A OUTPUT -o $EXTERNAL_INTERFACE -p udp -s $IPADDR --sport $UNPRIVPORTS -d IP.des_Timeservers --dport 123 -j ACCEPT
iptables -A INPUT -i $EXTERNAL_INTERFACE -p udp -s IP.des_Timeservers --sport 123 -d $IPADDR --dport $UNPRIVPORTS -j ACCEPT
> PS: die Firma dankt
Richtig.
Mit welcher Summe nochmal <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle"> ?
Re: ipchains nach iptables konvertieren (ntp prob)
> folglich müsste in der zweiten Regel das
> "-i" durch "-o" ersetzt werden.
Sollte "[...] in der _ersten_ Regel [...]" heissen ...
> "-i" durch "-o" ersetzt werden.
Sollte "[...] in der _ersten_ Regel [...]" heissen ...
-
- Posts: 5
- Joined: 30. Aug 2001 18:58
Re: ipchains nach iptables konvertieren (ntp prob)
*bg*
haben wir da was ausgemacht *g* :p
Naja nu hab ich des ja kapiert mit dem "Übersetzen"
Nur leider blockt er mir immer noch den Client
cYa SourceHunter
haben wir da was ausgemacht *g* :p
Naja nu hab ich des ja kapiert mit dem "Übersetzen"
Nur leider blockt er mir immer noch den Client
cYa SourceHunter
Re: ipchains nach iptables konvertieren (ntp prob)
sollte nicht eigentlich dann dein NTP-Client statt hohe Ports nicht ebenfalls Port 123 nutzen?
Also Client_IP 123 <-> Server_IP 123 ???
Aber genau weiss ich es selbst nicht.
Habe selbst Probleme mit NTP über Firewall.
Ich habe NT-Server die aus privaten Netz hinaus auf einen NTP Server zugreifen sollen.
(timeserv)
Leider fange ich Anfragen von den NT-Kisten auf Port 37 ab???
Weiss jemand was dazu?
Gruss Max
Also Client_IP 123 <-> Server_IP 123 ???
Aber genau weiss ich es selbst nicht.
Habe selbst Probleme mit NTP über Firewall.
Ich habe NT-Server die aus privaten Netz hinaus auf einen NTP Server zugreifen sollen.
(timeserv)
Leider fange ich Anfragen von den NT-Kisten auf Port 37 ab???
Weiss jemand was dazu?
Gruss Max
Re: ipchains nach iptables konvertieren (ntp prob)
Ich hab mich jetzt auch noch nicht genauer mit den bei NTP benutzten (oder auch nicht benutzten) Ports befasst.
@ SourceHunter
Hat es denn früher mit den oben von dir genannten ipchains-Regeln geklappt ?
@ SourceHunter
Hat es denn früher mit den oben von dir genannten ipchains-Regeln geklappt ?
Re: ipchains nach iptables konvertieren (ntp prob)
*g* ich hab ka, hab des mal aus nem buch abgetippt und angeblich sollte des damit dann funzen! naja auch egal, muss halt immer die firewall runterfahren, updaten und dann wieder hochfahren (geht ja per script in en paar sekunden und hosts.deny und allow sind ja dann auch noch da )
cYa SourceHunter
cYa SourceHunter
Re: ipchains nach iptables konvertieren (ntp prob)
Ich merke schon, ihr in eurer Firma legt sehr viel Wert auf saubere Lösungen ("Ach, wird halt eben mal die Firewall runtergefahren ...") <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">.
Re: ipchains nach iptables konvertieren (ntp prob)
*bbggg* naja wir machen halt keinen scheiss, keine halben sachen, NUR gutes
ne im ernst, ich werd schon schauen, dass ich des in den griff bekomme
ne im ernst, ich werd schon schauen, dass ich des in den griff bekomme
Re: ipchains nach iptables konvertieren (ntp prob)
Warum wilst Du die ports über 1024 extra freigeben ?
Je nach Firewall Design brauchst Du den ausgehenden ntp transfer nicht mal angeben. Wen Grundsätzlich jeder ausgehende Verkehr erlaubt ist (oder nur wenige Ports gesperrt sind, die explizit verboten werden), langt ein
iptables -A INPUT -i $EIF -m state --state ESTABLISHED -J ACCEPT
iptables -A INPUT -j DROP
Damit werden nur Verbindungen erlaubt, die vom internen Netz initiiert wurden. Verbindungen von außen (wie z.B. webserver) müssten extra freigegeben werden.
Sollte die default policy der OUTPUT Kette auf deny stehen, so hilft ein
iptables -A OUTPUT -p upd -d $TIMESRVIP --dport 123 -o $EIF -m state --state NEW -J ACCEPT
um Anfragen auf einen ntp Server zu erlauben. Da Linux auch udp stateful behandeln kann, würde mit obiger INPUT Kette auch die Antwort vom ntp Server durchgelassen.
Je nach Firewall Design brauchst Du den ausgehenden ntp transfer nicht mal angeben. Wen Grundsätzlich jeder ausgehende Verkehr erlaubt ist (oder nur wenige Ports gesperrt sind, die explizit verboten werden), langt ein
iptables -A INPUT -i $EIF -m state --state ESTABLISHED -J ACCEPT
iptables -A INPUT -j DROP
Damit werden nur Verbindungen erlaubt, die vom internen Netz initiiert wurden. Verbindungen von außen (wie z.B. webserver) müssten extra freigegeben werden.
Sollte die default policy der OUTPUT Kette auf deny stehen, so hilft ein
iptables -A OUTPUT -p upd -d $TIMESRVIP --dport 123 -o $EIF -m state --state NEW -J ACCEPT
um Anfragen auf einen ntp Server zu erlauben. Da Linux auch udp stateful behandeln kann, würde mit obiger INPUT Kette auch die Antwort vom ntp Server durchgelassen.
Re: ipchains nach iptables konvertieren (ntp prob)
Kleine Korrektur:
iptables -A INPUT -i $EIF -j DROP
iptables -A INPUT -i $EIF -j DROP
Re: ipchains nach iptables konvertieren (ntp prob)
THX an alle!!!!!!!!
iptables -A INPUT -i $INTERNET_INTERFACE -p udp -s $TIMESERVER --sport 123 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o $INTERNET_INTERFACE -p udp -d $TIMESERVER --dport 123 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
des funzt nun bei mir
cYa SourceHunter
PS: als default sind bei mir alles gespert sprich iptables -P INPUT DROP und OUTPUT DROP
iptables -A INPUT -i $INTERNET_INTERFACE -p udp -s $TIMESERVER --sport 123 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o $INTERNET_INTERFACE -p udp -d $TIMESERVER --dport 123 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
des funzt nun bei mir
cYa SourceHunter
PS: als default sind bei mir alles gespert sprich iptables -P INPUT DROP und OUTPUT DROP
Re: ipchains nach iptables konvertieren (ntp prob)
Die Stati (wassn die Mehrzahl von Status ?) "Established" und "Related" kannst Du aus der Output Kette rausnehmen ... ntp hat keine "related" Protokolle (wie z.B. der Kontroll Kanal bei FTP) und "established" erübrigt sich, da die Ausgehende Verbindung eh diejenige ist, die die Verbindung initiiert hat.
Der eigentlich spannende Teil ist, wieso hast Du in der Input Kette --sport=123 ? Ist bei ntp definitiv Sender- und Empfängerport immer 123 ? (Scheint so, weil es ja hinhaut bei Dir).
Der eigentlich spannende Teil ist, wieso hast Du in der Input Kette --sport=123 ? Ist bei ntp definitiv Sender- und Empfängerport immer 123 ? (Scheint so, weil es ja hinhaut bei Dir).