Hinweis: Das Forum wird geschlossen! Neue Registrierungen sind nicht mehr möglich!

 Zurück zu Pro-Linux   Foren-Übersicht   FAQ     Suchen    Mitgliederliste
ipchains nach iptables konvertieren (ntp prob)

 
Neuen Beitrag schreiben   Auf Beitrag antworten    Pro-Linux Foren-Übersicht -> Sonstiges
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
sourcehunter



Anmeldungsdatum: 30.08.2001
Beiträge: 5

BeitragVerfasst am: 31. Aug 2001 14:06   Titel: ipchains nach iptables konvertieren (ntp prob)

Hi all,

ich bin grad dabei bei meiner Firmer den Server vom Kernel 2.2.19 auf 2.4.8 umzustellen, unter anderem stelle ich von ipchains nach iptables um.
Hier ist eine Regel die ich nicht weis, wie ich die zu konvertieren habe (kleiner Ausschnitt):
EXTERNAL_INTERFACE="eth1"
IPADDR="192.168.0.99"
UNPRIVPORTS="1024:65535"

ipchains -A output -i $EXTERNAL_INTERFACE -p udp -s $IPADDR $UNPRIVPORTS -d IP.des_Timeservers 123 -j ACCEPT
ipchains -A input -i $EXTERNAL_INTERFACE -p udp -s IP.des_Timeservers 123 -d $IPADDR $UNPRIVPORTS -j ACCEPT

Dies benötige ich, weil der Server per Client auf einen TimeServer (ntp) zugreifen muss!
Hoffe jmd kennt eine Lösung dafür!

cYa SourceHunter

PS: die Firma dankt Very Happy
 
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden

Sebastian Ude
Gast





BeitragVerfasst am: 31. Aug 2001 19:59   Titel: Re: ipchains nach iptables konvertieren (ntp prob)

Das sollte nicht so aufwendig sein:


Erstens werden die Default-Chains bei iptables im Gegensatz zu ipchains gross geschrieben, also "INPUT", "OUTPUT" und "FORWARD" statt "input", "output" und "forward".

Zweitens bedeutet "-i" nicht mehr nur Interface, sondern "Input Interface" und "-o" entsprechend nun "Output Interface"; folglich müsste in der zweiten Regel das "-i" durch "-o" ersetzt werden.

Drittens werden Portranges bei TCP oder UDP jetzt über "--source-port" / "--sport" und "--destination-port" / "--dport" angegeben.

( Für näheres Lies mal das Packet-Filtering-HOWTO: http://www.netcologne.de/~meberg/netfilter/ )


Demnach müssten, wenn ich noch halbwegs klar denken kann, deine beiden Regeln für iptables so aussehen:

iptables -A OUTPUT -o $EXTERNAL_INTERFACE -p udp -s $IPADDR --sport $UNPRIVPORTS -d IP.des_Timeservers --dport 123 -j ACCEPT

iptables -A INPUT -i $EXTERNAL_INTERFACE -p udp -s IP.des_Timeservers --sport 123 -d $IPADDR --dport $UNPRIVPORTS -j ACCEPT


> PS: die Firma dankt :D

Richtig.

Mit welcher Summe nochmal ?
 

Sebastian Ude
Gast





BeitragVerfasst am: 31. Aug 2001 20:02   Titel: Re: ipchains nach iptables konvertieren (ntp prob)

> folglich müsste in der zweiten Regel das
> "-i" durch "-o" ersetzt werden.

Sollte "[...] in der _ersten_ Regel [...]" heissen ...
 

sourcehunter



Anmeldungsdatum: 30.08.2001
Beiträge: 5

BeitragVerfasst am: 01. Sep 2001 14:02   Titel: Re: ipchains nach iptables konvertieren (ntp prob)

*bg*
haben wir da was ausgemacht *g* :p

Naja nu hab ich des ja kapiert mit dem "Übersetzen" ;)

Nur leider blockt er mir immer noch den Client :(

cYa SourceHunter
 
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden

Max
Gast





BeitragVerfasst am: 01. Sep 2001 19:11   Titel: Re: ipchains nach iptables konvertieren (ntp prob)

sollte nicht eigentlich dann dein NTP-Client statt hohe Ports nicht ebenfalls Port 123 nutzen?
Also Client_IP 123 <-> Server_IP 123 ???
Aber genau weiss ich es selbst nicht.
Habe selbst Probleme mit NTP über Firewall.
Ich habe NT-Server die aus privaten Netz hinaus auf einen NTP Server zugreifen sollen.
(timeserv)
Leider fange ich Anfragen von den NT-Kisten auf Port 37 ab???
Weiss jemand was dazu?
Gruss Max
 

Sebastian Ude
Gast





BeitragVerfasst am: 02. Sep 2001 11:38   Titel: Re: ipchains nach iptables konvertieren (ntp prob)

Ich hab mich jetzt auch noch nicht genauer mit den bei NTP benutzten (oder auch nicht benutzten) Ports befasst.


@ SourceHunter

Hat es denn früher mit den oben von dir genannten ipchains-Regeln geklappt ?
 

SourceHunter
Gast





BeitragVerfasst am: 02. Sep 2001 15:18   Titel: Re: ipchains nach iptables konvertieren (ntp prob)

*g* ich hab ka, hab des mal aus nem buch abgetippt und angeblich sollte des damit dann funzen! naja auch egal, muss halt immer die firewall runterfahren, updaten und dann wieder hochfahren (geht ja per script in en paar sekunden und hosts.deny und allow sind ja dann auch noch da Wink )

cYa SourceHunter
 

Sebastian Ude
Gast





BeitragVerfasst am: 02. Sep 2001 16:25   Titel: Re: ipchains nach iptables konvertieren (ntp prob)

Ich merke schon, ihr in eurer Firma legt sehr viel Wert auf saubere Lösungen ("Ach, wird halt eben mal die Firewall runtergefahren ...") .
 

SourceHunter
Gast





BeitragVerfasst am: 02. Sep 2001 20:11   Titel: Re: ipchains nach iptables konvertieren (ntp prob)

*bbggg* Very Happy naja wir machen halt keinen scheiss, keine halben sachen, NUR gutes ;)

ne im ernst, ich werd schon schauen, dass ich des in den griff bekomme
 

Rossi
Gast





BeitragVerfasst am: 03. Sep 2001 15:37   Titel: Re: ipchains nach iptables konvertieren (ntp prob)

Warum wilst Du die ports über 1024 extra freigeben ?

Je nach Firewall Design brauchst Du den ausgehenden ntp transfer nicht mal angeben. Wen Grundsätzlich jeder ausgehende Verkehr erlaubt ist (oder nur wenige Ports gesperrt sind, die explizit verboten werden), langt ein

iptables -A INPUT -i $EIF -m state --state ESTABLISHED -J ACCEPT
iptables -A INPUT -j DROP

Damit werden nur Verbindungen erlaubt, die vom internen Netz initiiert wurden. Verbindungen von außen (wie z.B. webserver) müssten extra freigegeben werden.

Sollte die default policy der OUTPUT Kette auf deny stehen, so hilft ein

iptables -A OUTPUT -p upd -d $TIMESRVIP --dport 123 -o $EIF -m state --state NEW -J ACCEPT

um Anfragen auf einen ntp Server zu erlauben. Da Linux auch udp stateful behandeln kann, würde mit obiger INPUT Kette auch die Antwort vom ntp Server durchgelassen.
 

Rossi
Gast





BeitragVerfasst am: 03. Sep 2001 15:39   Titel: Re: ipchains nach iptables konvertieren (ntp prob)

Kleine Korrektur:

iptables -A INPUT -i $EIF -j DROP
 

SourceHunter
Gast





BeitragVerfasst am: 03. Sep 2001 18:36   Titel: Re: ipchains nach iptables konvertieren (ntp prob)

THX an alle!!!!!!!!

iptables -A INPUT -i $INTERNET_INTERFACE -p udp -s $TIMESERVER --sport 123 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o $INTERNET_INTERFACE -p udp -d $TIMESERVER --dport 123 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

des funzt nun bei mir

cYa SourceHunter

PS: als default sind bei mir alles gespert sprich iptables -P INPUT DROP und OUTPUT DROP
 

Rossi
Gast





BeitragVerfasst am: 04. Sep 2001 13:07   Titel: Re: ipchains nach iptables konvertieren (ntp prob)

Die Stati (wassn die Mehrzahl von Status ?) "Established" und "Related" kannst Du aus der Output Kette rausnehmen ... ntp hat keine "related" Protokolle (wie z.B. der Kontroll Kanal bei FTP) und "established" erübrigt sich, da die Ausgehende Verbindung eh diejenige ist, die die Verbindung initiiert hat.

Der eigentlich spannende Teil ist, wieso hast Du in der Input Kette --sport=123 ? Ist bei ntp definitiv Sender- und Empfängerport immer 123 ? (Scheint so, weil es ja hinhaut bei Dir).
 

Beiträge vom vorherigen Thema anzeigen:   
     Pro-Linux Foren-Übersicht -> Sonstiges Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehen Sie zu:  

Powered by phpBB © phpBB Group
pro_linux Theme © 2004 by Mandaxy