Am Samstag, 30. Oktober 2004 14:51 schrieb Bj�rn Schmidt: > Matthias Houdek wrote: > > Hm. Es fehlt ein wenig Hintergrund, um mit den paar Schnipseln was > > anfangen zu k�nnen. Vor allem wei� ich immer noch nicht, wo da IPSec > > mit im Spiel ist. > > Gut. Ich habe eine funktionierende Firewall die im internen Netz alles > erlaubt was entweder NEW,RELATED oder ESTABLISHED als Status hat. > Aktiviere ich zus�tzlich IPsec, dann haben alle TCP-Pakete die den > Rechner verlassen wollen den Status INVALID (das konnte ich gestern > noch herausfinden). Aktiviere ich NUR IPsec, funktioniert es nat�rlich > auch. > > Es hatten schon einige �hnliche Probleme: > http://www.linuxforen.de/forums/showthread.php?t=157141 > > Jedoch haben alle das Problem mit aktivem Masquerading. Das habe ich > aber nicht aktiv. Ich habe (noch) einen ganz normalen Rechner nur mit > eth0 und lo ohne Forwarding o.�. Ein/Ausgehende Verbindungen von/nach > 192.168.1.0/24 laufen ausschliesslich �ber IPsec. > > Selbst mit dieser einfachen firewall bekomme ich keine Verbindung hin: > > iptables -F > iptables -P INPUT DROP > iptables -P OUTPUT DROP > iptables -P FORWARD DROP > > iptables -A INPUT -i lo -j ACCEPT > iptables -A OUTPUT -o lo -j ACCEPT > > iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT > iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT > iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT > > iptables -A INPUT -m state --state INVALID -j LOG --log-prefix "INVALID > State INPUT " > iptables -A INPUT -m state --state INVALID -j DROP > iptables -A OUTPUT -m state --state INVALID -j LOG --log-prefix > "INVALID State OUTPUT " > iptables -A OUTPUT -m state --state INVALID -j DROP > iptables -A FORWARD -m state --state INVALID -j LOG --log-prefix > "INVALID State FORWARD " > iptables -A FORWARD -m state --state INVALID -j DROP
Ja, gut, das ist doch aber nicht alles. Wer darf denn neue Verbindungen aufbauen? So kann nix gehen. > Im log steht dann: > Oct 30 14:40:18 gigabyte kernel: INVALID State OUTPUT IN= OUT=eth0 > SRC=192.168.1.2 DST=192.168.1.1 LEN=52 TOS=0x00 PREC=0x00 TTL=64 > ID=17523 DF PROTO=TCP SPT=34246 DPT=22 WINDOW=2372 RES=0x00 ACK PSH FIN > URGP=0 Jo, da fehlt ja auch die H�lfte. Au�erdem - wieso FIN? > Oct 30 14:41:11 gigabyte kernel: INVALID State OUTPUT IN= > OUT=eth0 SRC=192.168.1.2 DST=192.168.1.1 LEN=52 TOS=0x00 PREC=0x00 > TTL=64 ID=17525 DF PROTO=TCP SPT=34246 DPT=22 WINDOW=2372 RES=0x00 ACK > PSH FIN URGP=0 Dito > Ich bin am Rechner 192.168.1.2 eingeloggt und versuche eine ssh > Verbindung zu 192.168.1.1 aufzubauen. Hoffe das sind jetzt ausreichend > Informationen... ;) Die Firewall l�uft auf 192.168.1.2 ? Was soll IPSec machen (Tunnel von wo nach wo?)? -- Gru� MaxX Hinweis: PMs an diese Adresse werden automatisch vernichtet (Filter nach /dev/null).
