Hi,
iptables macht mir probleme.
die struktur meines scripts auf dem internen router ist folgende:
1. -module starten
2. -ip forwarding enablen
3. -antispoofing enablen
4. -policies zuruecksetzen, dann aktivieren (defaults: DROP)
5. -lo INPUT und OUTPUT erlauben
6. -verschiedene Sachen fuer internes Netz erlauben/aus dem logging rausholen
7. -internes Netz maskieren
8. -FORWARD rules aktivieren
9. -was uebrig bleibt loggen
entwickelt habe ich das script ohne punkt
2,
7 und
8
und das hat gut funktioniert. Intern konnte ich
nameservice,
nfs,
ssh und
samba
ohne drops ausfuehren, sowie
http und
ftp
ueber den proxy.
im internen netz ist auf dem router, der online ueber einen anderen router
geht,
squid und
bind,
nfs,
ssh und samba
installiert. die verbindung vom internen router zum externen in einem anderen
netz ueber route und http funktioniert, ebenso ssh ins internet vom internen
router.
sobald ich aber punkt 2, 7 und 8 aktiviere, funktioniert der
nameservice
nicht mehr, weil dann das lo gedropt wird, sowohl vom internen netz,
alsauch auf dem router selbst.
eine ssh verbindung aus dem internen netz in das internet direkt auf eine
IP funktioniert.
iptables muss ich benutzen, weil der interne router nun einenen aktuellen
kernel hat, davor lief dort auf einem aelteren kernel ein ipchains script,
aus dem ich das iptables script entwickelt habe problemlos.
die unterschiede von ipchains und iptables bezueglich der syntax sind mir
bekannt, jedoch scheine ich NAT und die prioritaet in der reihenfolge
diesbezueglich nicht verstanden zu haben. besonders ist mir unklar, wieso
lo wieder gedropt wird, wenn ich punkt 2, 7 und 8 aktiviere.
auf ein fertiges script kann ich mich nicht verlassen, zumal keines bisher
getestetes alle funktionen bietet, die ich brauche. auch ist mir keines
begegnet, das alle policies der builtin funktionen auf DROP setzte und dann
punkt fuer punkt wieder enabled und nat fuer ein internes netz bietet.
vielleicht kommt einem leser diese situation ja bekannt vor und kann mir
einen tip geben, das script selbst ist sehr lang, deshalb sehe ich von einem
posting desselben ab...
thanx4reading
iptables dropt lo 127.0.0.1
- killerhippy
- Posts: 529
- Joined: 19. May 2000 19:36
- Contact:
iptables dropt lo 127.0.0.1
Es gibt keine dumme Fragen!
Killerhippy
Killerhippy
- killerhippy
- Posts: 529
- Joined: 19. May 2000 19:36
- Contact:
Re: iptables dropt lo 127.0.0.1
die lokale lug hat mir geholfen.
der grund war, dass ich POSTROUTING im DROPping (falls eine POSTROUTING nicht getroffen wird) mit aufgenommen hatte.
der grund war, dass ich POSTROUTING im DROPping (falls eine POSTROUTING nicht getroffen wird) mit aufgenommen hatte.