iptables dropt lo 127.0.0.1

Post Reply
Message
Author
User avatar
killerhippy
Posts: 529
Joined: 19. May 2000 19:36
Contact:

iptables dropt lo 127.0.0.1

#1 Post by killerhippy »

Hi,

iptables macht mir probleme.

die struktur meines scripts auf dem internen router ist folgende:

1. -module starten
2. -ip forwarding enablen
3. -antispoofing enablen
4. -policies zuruecksetzen, dann aktivieren (defaults: DROP)
5. -lo INPUT und OUTPUT erlauben
6. -verschiedene Sachen fuer internes Netz erlauben/aus dem logging rausholen
7. -internes Netz maskieren
8. -FORWARD rules aktivieren
9. -was uebrig bleibt loggen

entwickelt habe ich das script ohne punkt

2,
7 und
8

und das hat gut funktioniert. Intern konnte ich

nameservice,
nfs,
ssh und
samba

ohne drops ausfuehren, sowie

http und
ftp

ueber den proxy.

im internen netz ist auf dem router, der online ueber einen anderen router
geht,

squid und
bind,
nfs,
ssh und samba

installiert. die verbindung vom internen router zum externen in einem anderen
netz ueber route und http funktioniert, ebenso ssh ins internet vom internen
router.

sobald ich aber punkt 2, 7 und 8 aktiviere, funktioniert der

nameservice

nicht mehr, weil dann das lo gedropt wird, sowohl vom internen netz,
alsauch auf dem router selbst.

eine ssh verbindung aus dem internen netz in das internet direkt auf eine
IP funktioniert.

iptables muss ich benutzen, weil der interne router nun einenen aktuellen
kernel hat, davor lief dort auf einem aelteren kernel ein ipchains script,
aus dem ich das iptables script entwickelt habe problemlos.

die unterschiede von ipchains und iptables bezueglich der syntax sind mir
bekannt, jedoch scheine ich NAT und die prioritaet in der reihenfolge
diesbezueglich nicht verstanden zu haben. besonders ist mir unklar, wieso
lo wieder gedropt wird, wenn ich punkt 2, 7 und 8 aktiviere.
auf ein fertiges script kann ich mich nicht verlassen, zumal keines bisher
getestetes alle funktionen bietet, die ich brauche. auch ist mir keines
begegnet, das alle policies der builtin funktionen auf DROP setzte und dann
punkt fuer punkt wieder enabled und nat fuer ein internes netz bietet.

vielleicht kommt einem leser diese situation ja bekannt vor und kann mir
einen tip geben, das script selbst ist sehr lang, deshalb sehe ich von einem
posting desselben ab...

thanx4reading
Es gibt keine dumme Fragen!

Killerhippy

User avatar
killerhippy
Posts: 529
Joined: 19. May 2000 19:36
Contact:

Re: iptables dropt lo 127.0.0.1

#2 Post by killerhippy »

die lokale lug hat mir geholfen.

der grund war, dass ich POSTROUTING im DROPping (falls eine POSTROUTING nicht getroffen wird) mit aufgenommen hatte.

Post Reply