Hallo, Leute
ich habe da mal eine Frage was iptables angeht.
### policies
iptables --policy INPUT DROP
iptables --policy OUTPUT DROP
iptables --policy FORWARD DROP
### rules
iptables -A INPUT -j ACCEPT
iptables -A OUTPUT -j ACCEPT
Mein Problem ist nun, obwohl ich die ACCEPT rules gesetzt habe, wird trozdem alles geblockt.
Meine Frage wäre nun, warum ???
Policies greifen doch eigentlich nur wenn keine entsprechende Regel für den jeweiligen Fall
gesetzt sind.
Also wieso werden dann die ACCEPT Rules 'übersehen'
Danke für alle Vorschläge
Ich zähl auf euch
Gruß,
Thomas
iptables Frage/Problem
Re: iptables Frage/Problem
iptables -F
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
und dein rechner ist ein offenes scheunentor.
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
und dein rechner ist ein offenes scheunentor.
Re: iptables Frage/Problem
Hallo,
ehm, hast du wirklich mein ganzes posting durchgelesen?!
Ich stelle die Frage nich zum Spaß.
Ich habe ein größeres Firewall-Script, das mit den DROP Policies startet
und dann nacheinander die verschiedenen Dienste freigibt.
Weil aber jedoch alles geblockt wird, habe ich eine einfachere Fragestellung genommen.
Die policies sind standartmäßig sowieso ACCEPT, also...
Würde mich um Antworten freuen
Gruß,
Thomas
ehm, hast du wirklich mein ganzes posting durchgelesen?!
Ich stelle die Frage nich zum Spaß.
Ich habe ein größeres Firewall-Script, das mit den DROP Policies startet
und dann nacheinander die verschiedenen Dienste freigibt.
Weil aber jedoch alles geblockt wird, habe ich eine einfachere Fragestellung genommen.
Die policies sind standartmäßig sowieso ACCEPT, also...
Würde mich um Antworten freuen
Gruß,
Thomas
Re: iptables Frage/Problem
hast du eventuell noch andere regeln auf dem rechner laufen?
in diesem fall könnte dir
iptables -F
das war der schlecht verpackte ansatz meiner versuchten hilfe.
gruß
in diesem fall könnte dir
iptables -F
das war der schlecht verpackte ansatz meiner versuchten hilfe.
gruß
Re: iptables Frage/Problem
Es ist IMHO unbedingt noetig, zwischen allen interfaces zu unterscheiden. Damit der Linux-Rechner mit sich selbst kommunizieren kann, ist das dummy-interface lo unbedingt freizuhalten. Im Anschluss ein paar subroutines fuer bash scripte fuer die bessere Anschaulichkeit.
ratte
<blockquote><pre><font size="1" face="">code:</font><hr><font face="Courier New" size="2">
#!/bin/bash
IPT=/sbin/iptables
DNS="<space separated list of IP-addresses of DNS-Servers>"
scheune_dicht ()
{ echo "stopping stateful packetfilter"
########
## set policies defaults to deny
$IPT -F # flush all chain rules
$IPT -X # delete all not builtin chains
$IPT -Z # zero all counters
$IPT -P INPUT DROP # deny all input
$IPT -P OUTPUT DROP # deny all output
$IPT -P FORWARD DROP # deny all forwarding
## keep lo running
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A OUTPUT -f -o lo -j ACCEPT
} # end scheune_dicht
und hier als Beispiel fuer DNS die input und output rules:
for I in $DNS; do
$IPT -A INPUT -p udp -s $I --sport 53 \
--dport 1023: -i eth1 -j ACCEPT
$IPT -A INPUT -p tcp -s $I --sport 53 \
--dport 1023: -i eth1 -j ACCEPT
$IPT -A OUTPUT -p udp --sport 1023: \
-d $I --dport 53 -o eth1 -j ACCEPT
$IPT -A OUTPUT -p tcp --sport 1023: \
-d $I --dport 53 -o eth1 -j ACCEPT
done
</font><hr></pre></blockquote>
ratte
<blockquote><pre><font size="1" face="">code:</font><hr><font face="Courier New" size="2">
#!/bin/bash
IPT=/sbin/iptables
DNS="<space separated list of IP-addresses of DNS-Servers>"
scheune_dicht ()
{ echo "stopping stateful packetfilter"
########
## set policies defaults to deny
$IPT -F # flush all chain rules
$IPT -X # delete all not builtin chains
$IPT -Z # zero all counters
$IPT -P INPUT DROP # deny all input
$IPT -P OUTPUT DROP # deny all output
$IPT -P FORWARD DROP # deny all forwarding
## keep lo running
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A OUTPUT -f -o lo -j ACCEPT
} # end scheune_dicht
und hier als Beispiel fuer DNS die input und output rules:
for I in $DNS; do
$IPT -A INPUT -p udp -s $I --sport 53 \
--dport 1023: -i eth1 -j ACCEPT
$IPT -A INPUT -p tcp -s $I --sport 53 \
--dport 1023: -i eth1 -j ACCEPT
$IPT -A OUTPUT -p udp --sport 1023: \
-d $I --dport 53 -o eth1 -j ACCEPT
$IPT -A OUTPUT -p tcp --sport 1023: \
-d $I --dport 53 -o eth1 -j ACCEPT
done
</font><hr></pre></blockquote>