auf meinem router läuft ein dns server , und ich wollte dieses firewallscript drauf laufen lassen jedoch wird jede connection
zwischen router:53 und provider-dns-server:53 geblockt aber ich kapiere es nicht warum , schaut mal das script an bitte
p.s. wenn jemand ein einfaches und übersichtliches masqu-script , würde ich mich echt freuen wenn er es mir mailen könnte
---->>>> sellmer@gmx.net
danke, sellmi
#!/bin/sh
IPCHAINS=/sbin/ipchains
echo 1 > /proc/sys/net/ipv4/ip_forward
insmod /lib/modules/2.2.19/ipv4/ip_masq_ftp.o
insmod /lib/modules/2.2.19/ipv4/ip_masq_irc.o
insmod /lib/modules/2.2.19/ipv4/ip_masq_quake.o
insmod /lib/modules/2.2.19/ipv4/ip_masq_cuseeme.o
insmod /lib/modules/2.2.19/ipv4/ip_masq_raudio.o
insmod /lib/modules/2.2.19/ipv4/ip_masq_vdolive.o
localnet="192.168.0.0/24"
Any="0.0.0.0/0"
int="eth0"
ext="ppp0"
dns="194.25.2.131"
$IPCHAINS -P input DENY
$IPCHAINS -P forward DENY
$IPCHAINS -P output DENY
$IPCHAINS -F
$IPCHAINS -X
$IPCHAINS -N icmp-acc
# input rules
$IPCHAINS -A input -s $Any -d $Any -i lo -j ACCEPT
$IPCHAINS -A input -s $localnet -d $Any -i $int -j ACCEPT
$IPCHAINS -A input -p tcp -s $localnet 0:1024 -d $Any -i $int -j ACCEPT
$IPCHAINS -A input -p udp -s $localnet 0:1024 -d $Any -i $int -j ACCEPT
$IPCHAINS -A input -p tcp -s $Any -d $Any 1024:65535 -i $ext -j ACCEPT ! -y
$IPCHAINS -A input -p udp -s $Any -d $Any 1024:65535 -i $ext -j ACCEPT
$IPCHAINS -A input -p tcp -s $Any ftp-data -d $Any 1024:65535 -i $ext -j ACCEPT -y
$IPCHAINS -A input -p icmp -s $Any -d $Any -j icmp-acc
$IPCHAINS -A input -s $Any -d $Any -l
# forward rules
$IPCHAINS -A forward -p udp -s $localnet 1024:65535 -d $Any -i $ext -j MASQ
$IPCHAINS -A forward -p tcp -s $localnet 1024:65535 -d $Any -i $ext -j MASQ
$IPCHAINS -A forward -p icmp -s $Any -d $Any -j MASQ
$IPCHAINS -A forward -s $Any -d $Any -l
# output rules
$IPCHAINS -A output -s $Any -d $Any -i lo -j ACCEPT
$IPCHAINS -A output -s $localnet -d $Any -i $int -j ACCEPT
$IPCHAINS -A output -p tcp -s $IPCHAINS -A input -p tcp -s $dns -d $Any -i $ext -j ACCEPT
$IPCHAINS -A input -p udp -s $dns -d $Any -i $ext -j ACCEPT$Any -d $localnet -i $int -j ACCEPT ! -y
$IPCHAINS -A output -p udp -s $Any -d $localnet -i $int -j ACCEPT
$IPCHAINS -A output -p tcp -s $Any 1023:65353 -d $Any -i $ext -j ACCEPT
$IPCHAINS -A output -p udp -s $Any 1023:65353 -d $Any -i $ext -j ACCEPT
$IPCHAINS -A output -p tcp -s $Any ftp-data -d $localnet 1024:65535 -i $ext -j ACCEPT
$IPCHAINS -A output -p icmp -s $Any -d $Any -j icmp-acc
$IPCHAINS -A output -s $Any -d $Any -l
# icmp-acc rules
$IPCHAINS -A icmp-acc -p icmp -s $Any 0 -d $Any -j DENY
$IPCHAINS -A icmp-acc -p icmp -s $Any 8 -d $Any -j ACCEPT
$IPCHAINS -A icmp-acc -p icmp -s $Any 3 -d $Any -j ACCEPT
$IPCHAINS -A icmp-acc -p icmp -s $Any 4 -d $Any -j ACCEPT
$IPCHAINS -A icmp-acc -p icmp -s $Any 11 -d $Any -j ACCEPT
$IPCHAINS -A icmp-acc -p icmp -s $Any 12 -d $Any -j ACCEPT
#dns
$IPCHAINS -A output -p tcp -s $Any 53 -d $dns 53 -i $ext -j ACCEPT
$IPCHAINS -A output -p tcp -s $Any 53 -d $dns 53 -i $ext -j ACCEPT
$IPCHAINS -A input -p tcp -s $dns 53 -d $Any 53 -i $ext -j ACCEPT
$IPCHAINS -A input -p udp -s $dns 53 -d $Any 53 -i $ext -j ACCEPT
hilfe hilfe ipchains und dns
Re: hilfe hilfe ipchains und dns
> $IPCHAINS -A output -p tcp -s $IPCHAINS -A input -p tcp -s $dns -d $Any -i $ext -j ACCEPT
> $IPCHAINS -A input -p udp -s $dns -d $Any -i $ext -j ACCEPT$Any -d $localnet -i $int -j ACCEPT ! -y
Steht das so in Deinem Script, oder ist das beim posten so zerwürfelt worden?
Zudem: hast du schonmal in Dein Log gesehen? Dort sollte eigentlich stehen, was er genau blockt und vor allem um welche chain es sich handelt.
> $IPCHAINS -A input -p udp -s $dns -d $Any -i $ext -j ACCEPT$Any -d $localnet -i $int -j ACCEPT ! -y
Steht das so in Deinem Script, oder ist das beim posten so zerwürfelt worden?
Zudem: hast du schonmal in Dein Log gesehen? Dort sollte eigentlich stehen, was er genau blockt und vor allem um welche chain es sich handelt.
bye.olli
--
"Where's Oswald when we need him.."
--
"Where's Oswald when we need him.."
Re: hilfe hilfe ipchains und dns
<blockquote><pre><font size="1" face="">code:</font><hr><font face="Courier New" size="2">
IPADDR=$(/sbin/ifconfig | /bin/grep P-t-P | /usr/bin/cut -c 21-35 | cut -f1 -d" ")
UNPRIVPORTS="1024:65535" # unprivilegierte Ports
# DNS client (53)
# ---------------
/sbin/ipchains -A output -i $EXT -p udp \
-s $IPADDR $UNPRIVPORTS \
-d $DNS 53 -j ACCEPT
/sbin/ipchains -A input -i $EXT -p udp \
-s $DNS 53 \
-d $IPADDR $UNPRIVPORTS -j ACCEPT
/sbin/ipchains -A output -i $EXT -p tcp \
-s $IPADDR $UNPRIVPORTS \
-d $DNS 53 -j ACCEPT
oder
#dns (ok)
/sbin/ipchains -A output -p udp -i ppp0 ! -d $LOCALE_IP --dport 53 -j ACCEPT
/sbin/ipchains -A input -p udp -i ppp0 ! -d $LOCALE_IP --sport 53 -j ACCEPT
</font><hr></pre></blockquote>
IPADDR=$(/sbin/ifconfig | /bin/grep P-t-P | /usr/bin/cut -c 21-35 | cut -f1 -d" ")
UNPRIVPORTS="1024:65535" # unprivilegierte Ports
# DNS client (53)
# ---------------
/sbin/ipchains -A output -i $EXT -p udp \
-s $IPADDR $UNPRIVPORTS \
-d $DNS 53 -j ACCEPT
/sbin/ipchains -A input -i $EXT -p udp \
-s $DNS 53 \
-d $IPADDR $UNPRIVPORTS -j ACCEPT
/sbin/ipchains -A output -i $EXT -p tcp \
-s $IPADDR $UNPRIVPORTS \
-d $DNS 53 -j ACCEPT
oder
#dns (ok)
/sbin/ipchains -A output -p udp -i ppp0 ! -d $LOCALE_IP --dport 53 -j ACCEPT
/sbin/ipchains -A input -p udp -i ppp0 ! -d $LOCALE_IP --sport 53 -j ACCEPT
</font><hr></pre></blockquote>