Hi,
ich habe hier ein Problem bei dem ich nicht mehr weiter wei�. Verbindungen zu meinem neuen Router sind Subnetz�bergreifend nur mit IPsec (Transport/ESP) m�glich. Das Problem ist das ausgehende, zu ssh-Verbindungen (andere habe ich noch nicht getestet) geh�rende Pakete nicht durch die Firewall kommen, FALLS IPsec aktiviert ist. Ohne IPsec geht es. Ich benutze das IPsec aus dem Kernel 2.6
Das entscheidende Fragment meines Firewallscriptes:
function INT_IFACE_accept_out()
{
$IPT_CMD -N INT_OUT
$IPT_CMD -A OUTPUT -o $INT_IFNAME -m state --state NEW -j ULOG --ulog-prefix INT_IFACE_accept_out
$IPT_CMD -A OUTPUT -o $INT_IFNAME -m state --state NEW -j INT_OUT
# $IPT_CMD -A OUTPUT -o $INT_IFNAME -j ULOG --ulog-prefix INT_IFACE_esp_out
# $IPT_CMD -A OUTPUT -o $INT_IFNAME -j INT_OUT
$IPT_CMD -A INT_OUT -j ACCEPT
}
Entferne ich die Kommentarzeichen funktioniert es und meine log-File meldet:
Oct 29 13:51:55 skyron INT_IFACE_esp_out IN= OUT=eth0 MAC= SRC=192.168.1.1 DST=192.168.1.2 LEN=60 TOS=00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=22 DPT=33087 SEQ=1084138375 ACK=1121257964 WINDOW=5792 ACK SYN URGP=0
Mit Kommentarzeichen bekomme ich (das Paket wird verworfen da kein match):
Oct 29 13:51:05 skyron ILLEGAL_PACKET IN= OUT=eth0 MAC= SRC=192.168.1.1 DST=192.168.1.2 LEN=60 TOS=00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=22 DPT=33085 SEQ=1048000056 ACK=1050690244 WINDOW=5792 ACK SYN URGP=0
Die Frage ist also, warum kann ich mit IPsec nicht ohne weiteres auf "--state NEW" pr�fen. Und wie mu� eine Regel aussehen die mit "--state NEW" einen Treffer liefert?
-- Mit freundlichen Gruessen Bjoern Schmidt
--
Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
