Sebastian Kayser <[EMAIL PROTECTED]> wrote: >* Claudius Hubig <[EMAIL PROTECTED]> wrote: >> Jan Luehr <[EMAIL PROTECTED]> wrote: >> >ja hallo erstmal,... >> > >> >Am Sonntag, 18. Dezember 2005 11:11 schrieb Claudius Hubig: >> > >> >> Hallo Liste, >> >> >> >> ich bin zur Zeit dabei, zu versuchen, mein Netzwerk mittels iptables >> >> abzudichten. Dazu bin ich nach >> >> http://www.online-tutorials.net/internet-netzwerk/iptables-tutorial/tutoria >> >>ls-t-29-214.html vorgegangen, habe jetzt jedoch ein Problem mit der >> >> Namenauflösung. >> >> >> >> "ping IP" funktioniert problemlos, während bspw. "ping google.de" nur >> >> einen >> >> "unknown host" meldet. >> >> >> >> Das zugehörige Script sieht folgendermaßen aus: >> >> >> >> #!/bin/bash >> >> IPTABLES=/sbin/iptables >> >> EXT_DEV=eth1 >> >> INT_NET=192.168.0.0/24 >> >> #Ports to Forward >> >> FORWARD_1_TCP="21,22,25,53,80,110,119,443,1716,1717,1718,1719" >> >> FORWARD_2_TCP="2341,2342,5050,5190,5222,6667,6668,8000,8080" >> >> FORWARD_UDP="53,1716,1717,1718,1719" >> >[...] >> > >> >> /sbin/iptables -t filter -A INPUT -p udp -m multiport >> >> --dport $INPUT_UDP -j ACCEPT echo "Input Rules were set" >> >> Das kam bei dir so an? - Entschuldige bitte. >> >> >Müsste es hier nicht eher sport heißen? >> >> Mhm, ja, mit sport geht es - aber warum? Ich meine da kommt ja was >> "Rein", das auf einen bestimmten Port will. Dieser ist doch "53", oder? >> Der Sourceport dürfte da doch keine Rolle spielen. *verwirrtsei* - Da >> werde ich auf alle Fälle nochmal was zu nachlesen - aber es geht ja >> jetzt, danke :) > >Über das ACCEPT im OUTPUT-Table für Ziel-Port UDP/53 gingen die >DNS-Anfragen zwar raus (von einem unpriviligierten Quell-Port >1024), >die Antworten vom entfernten Port UDP/53 zurück an Deinen lokalen >unpriviligierten Quell-Port UDP/>1024 kamen jedoch nicht mehr durch >die Regeln Deines INPUT-Tables zurück. > >Mit Deinen aktuellen Regeln musst Du jeglichen Rückverkehr ebenfalls >erlauben. Die Regel von Jan hat dies nun für DNS ermöglicht, mache es >Dir hier einfacher und nimm eine Zeile a la > >iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT > >in Deinen INPUT-Table auf. Die erlaubt jeglichen Rückverkehr für >ausgehende Verbindungen (insofern iptables mit dem Protokoll klarkommt, >für FTP muss z.B. noch conntrack_ftp als Modul hinzugeladen werden).
Nun, da auf dem Rechner nur ein ssh- und HTTP-Server läuft scheint es mir einfacher, den gewünschten UDP-Port freizugeben statt der o. g. Regel. Trotzdem danke für den Hinweis, bei Bedarf werde ich wieder darauf zurückgreifen. Greetinx Claudius -- Claudius Hubig ,= ,-_-. =. 224491597 Es gibt auch Linux-Aussteiger. ((_/)o o(\_)) Y!M:opensource2017 Aber die Rückfallquote steigt mit `-'(. .)`-' claudiushubig.tk jeder Win-Version. (Walter Saner) \_/ [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
