iptables Frage/Problem

Post Reply
Message
Author
Thomas

iptables Frage/Problem

#1 Post by Thomas »

Hallo, Leute

ich habe da mal eine Frage was iptables angeht.
### policies
iptables --policy INPUT DROP
iptables --policy OUTPUT DROP
iptables --policy FORWARD DROP
### rules
iptables -A INPUT -j ACCEPT
iptables -A OUTPUT -j ACCEPT

Mein Problem ist nun, obwohl ich die ACCEPT rules gesetzt habe, wird trozdem alles geblockt.
Meine Frage wäre nun, warum ???
Policies greifen doch eigentlich nur wenn keine entsprechende Regel für den jeweiligen Fall
gesetzt sind.
Also wieso werden dann die ACCEPT Rules 'übersehen'

Danke für alle Vorschläge
Ich zähl auf euch ;)

Gruß,
Thomas

antipolizei

Re: iptables Frage/Problem

#2 Post by antipolizei »

iptables -F
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

und dein rechner ist ein offenes scheunentor.

Thomas

Re: iptables Frage/Problem

#3 Post by Thomas »

Hallo,
ehm, hast du wirklich mein ganzes posting durchgelesen?!
Ich stelle die Frage nich zum Spaß.
Ich habe ein größeres Firewall-Script, das mit den DROP Policies startet
und dann nacheinander die verschiedenen Dienste freigibt.
Weil aber jedoch alles geblockt wird, habe ich eine einfachere Fragestellung genommen.
Die policies sind standartmäßig sowieso ACCEPT, also...

Würde mich um Antworten freuen

Gruß,
Thomas

antipolizei

Re: iptables Frage/Problem

#4 Post by antipolizei »

hast du eventuell noch andere regeln auf dem rechner laufen?
in diesem fall könnte dir

iptables -F

das war der schlecht verpackte ansatz meiner versuchten hilfe.

gruß

ratte

Re: iptables Frage/Problem

#5 Post by ratte »

Es ist IMHO unbedingt noetig, zwischen allen interfaces zu unterscheiden. Damit der Linux-Rechner mit sich selbst kommunizieren kann, ist das dummy-interface lo unbedingt freizuhalten. Im Anschluss ein paar subroutines fuer bash scripte fuer die bessere Anschaulichkeit.

ratte

<blockquote><pre><font size="1" face="">code:</font><hr><font face="Courier New" size="2">
#!/bin/bash
IPT=/sbin/iptables
DNS="<space separated list of IP-addresses of DNS-Servers>"

scheune_dicht ()
{ echo "stopping stateful packetfilter"
########
## set policies defaults to deny
$IPT -F # flush all chain rules
$IPT -X # delete all not builtin chains
$IPT -Z # zero all counters
$IPT -P INPUT DROP # deny all input
$IPT -P OUTPUT DROP # deny all output
$IPT -P FORWARD DROP # deny all forwarding

## keep lo running
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A OUTPUT -f -o lo -j ACCEPT
} # end scheune_dicht

und hier als Beispiel fuer DNS die input und output rules:

for I in $DNS; do
$IPT -A INPUT -p udp -s $I --sport 53 \
--dport 1023: -i eth1 -j ACCEPT
$IPT -A INPUT -p tcp -s $I --sport 53 \
--dport 1023: -i eth1 -j ACCEPT
$IPT -A OUTPUT -p udp --sport 1023: \
-d $I --dport 53 -o eth1 -j ACCEPT
$IPT -A OUTPUT -p tcp --sport 1023: \
-d $I --dport 53 -o eth1 -j ACCEPT
done
</font><hr></pre></blockquote>

Post Reply