Re: ssh iptables
Hallo Klaus, Klaus Becker, 26.04.2006 (d.m.y): [/etc/init.d/skeleton] erstmal kannte ich diese Datei nicht und 2. bin ich kein Profi und bin mir garnicht sicher, dass ich das kann. Nunja - Du schreibst Dir doch jetzt auch ein entsprechendes Skript, oder? Gruss, Christian Schmidt -- Christian Schmidt | Germany No HTML Mails, please! signature.asc Description: Digital signature
Re: ssh iptables
Klaus Becker schrieb: n'Abend, ich habe Guarddog, das ich bis jetzt benutzt habe, rausgeschmissen und benutze jetzt iptables. Auf Rechner1 und Rechner2 habe ich die gleichen Dateien /etc/network/if-pre-up.d/iptables-start, in denen u. A. steht: iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A INPUT -p udp --dport 22 -j ACCEPT Was hast du denn in der OUTPUT Chain stehen? Wenn du das Versenden der Antworten blockierst, geht da nix. Das erledigst du am Besten damit, dass du alle Packete zulässt, die zu Verbindungen gehören, die bereits existieren (deren Aufbau du also zugelassen hast). Das macht man mit: iptables -A CHAIN -m state --state ESTABLISHED,RELATED -j ACCEPT wobei CHAIN für INPUT, OUTPUT und FORWARD steht - oder natürlich andere selbst definierte Ketten, wenn du solche verwenden willst. Kommt auf deine Konfiguration an. Was bedeutet das ganze? Mit deiner ersten Regel (tcp reicht für ssh) erlaubst du den Zugriff und somit den Aufbau einer Verbindung. Die Pakete dieser Verbindung erhalten den Status ESTABLISHED und/oder RELATED. Diese lässt du dann mit der zweiten Regel deiner Firewall in der OUTPUT Chain passieren. Die ESTABLISHED,RELATED Regeln habe ich sehr weit oben in meinem Skript platziert, so dass diese als erstes abgearbeitet werden. Wie ich jetzt die Firewall starte/stoppe, ist mir nicht klar. Script mit den Regeln anlegen und dieses ausführen. Regeln gibt es für das erzeugen der Chains sowie das Löschen. Am besten mal auf netfilter.org das HowTo anschauen, da wird alles sehr schön erklärt. Grüße Marc -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ssh iptables
Hallo Klaus, Klaus Becker, 25.04.2006 (d.m.y): ich habe Guarddog, das ich bis jetzt benutzt habe, rausgeschmissen und benutze jetzt iptables. Auf Rechner1 und Rechner2 habe ich die gleichen Dateien /etc/network/if-pre-up.d/iptables-start, in denen u. A. steht: iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A INPUT -p udp --dport 22 -j ACCEPT Eine SSH-Verbindung ist nicht mehr möglich. Von Rechner1 aus hängt sie, von Rechner2 aus bekomme ich die Meldung, die Verbindung zu Port 22 auf Rechner1 werde zurückgewiesen. Sofern sich das durch Korrekturen am Regelsatz nicht in den Griff bekommen laesst, schau einfach mal in /etc/hosts.(allow|deny) nach. Damit kann man einfachst und ohne Paketfilter-Gefrickel festlegen, welche Hosts bzw. Netze auf den sshd zugreifen duerfen und welche nicht. Wird immer wieder gerne vergessen, weil Paketfilter in der Windows-Welt in sind. Gruss, Christian Schmidt -- Früher rasierte man sich, wenn man Beethoven hören wollte, jetzt hört man Beethoven, wenn man sich rasieren will. -- Peter Bamm signature.asc Description: Digital signature
Re: ssh iptables
Le Mittwoch 26 April 2006 07:08, Andreas Kretschmer a écrit : am 25.04.2006, um 21:12:00 +0200 mailte Klaus Becker folgendes: n'Abend, ich habe Guarddog, das ich bis jetzt benutzt habe, rausgeschmissen und benutze jetzt iptables. Ich hab' erstmal ne ganz dumme Frage: Ich habe jetzt /etc/network/if-pre-up.d/iptables-start und /etc/network/if-post-down.d/iptables-stop. Berabeitet habe ich iptables-start. /etc/rc.firewall ist aber immer noch die von Guarddog geschriebene Datei. Muss ich jetzt iptables-start nach rc.firewall kopieren? Welche Datei muss ich bearbeiten, /etc/rc.firewall oder /etc/network/if-pre-up.d/iptables-start? Gruß Klaus
Re: ssh iptables
Hallo Klaus, Klaus Becker, 26.04.2006 (d.m.y): Ich hab' erstmal ne ganz dumme Frage: Ich habe jetzt /etc/network/if-pre-up.d/iptables-start und /etc/network/if-post-down.d/iptables-stop. Berabeitet habe ich iptables-start. /etc/rc.firewall ist aber immer noch die von Guarddog geschriebene Datei. Muss ich jetzt iptables-start nach rc.firewall kopieren? Welche Datei muss ich bearbeiten, /etc/rc.firewall oder /etc/network/if-pre-up.d/iptables-start? Wieso nimmst Du nicht einfach /etc/init.d/skeleton als Vorlage und baust Dir daraus ein eigenes Init-Skript? Gruss, Christian Schmidt -- Abhängig: Auf die Großmut eines anderen angewiesen, da ohne Druckmittel. -- Ambrose Bierce signature.asc Description: Digital signature
Re: ssh iptables
Le Mittwoch 26 April 2006 15:51, Christian Schmidt a écrit : Hallo Klaus, Klaus Becker, 26.04.2006 (d.m.y): Ich hab' erstmal ne ganz dumme Frage: Ich habe jetzt /etc/network/if-pre-up.d/iptables-start und /etc/network/if-post-down.d/iptables-stop. Berabeitet habe ich iptables-start. /etc/rc.firewall ist aber immer noch die von Guarddog geschriebene Datei. Muss ich jetzt iptables-start nach rc.firewall kopieren? Welche Datei muss ich bearbeiten, /etc/rc.firewall oder /etc/network/if-pre-up.d/iptables-start? Wieso nimmst Du nicht einfach /etc/init.d/skeleton als Vorlage und baust Dir daraus ein eigenes Init-Skript? Hallo Christian, erstmal kannte ich diese Datei nicht und 2. bin ich kein Profi und bin mir garnicht sicher, dass ich das kann. Meine Datei ist schon fertig, ich habe eine Vorlage aus dem Web genommen und sie an meine Bedürfnisse angepasst. Klaus
ssh iptables
n'Abend, ich habe Guarddog, das ich bis jetzt benutzt habe, rausgeschmissen und benutze jetzt iptables. Auf Rechner1 und Rechner2 habe ich die gleichen Dateien /etc/network/if-pre-up.d/iptables-start, in denen u. A. steht: iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A INPUT -p udp --dport 22 -j ACCEPT Eine SSH-Verbindung ist nicht mehr möglich. Von Rechner1 aus hängt sie, von Rechner2 aus bekomme ich die Meldung, die Verbindung zu Port 22 auf Rechner1 werde zurückgewiesen. Ich hatte übrigens das gleiche Problem mit Guarddog. Dort hatte ich zwar SSH erlaubt, es klappte aber trotzdem nicht, ich musste die Firewall stoppen. Das ging entweder in der Gui oder mit /etc/init.d/guarddog stop. Wie ich jetzt die Firewall starte/stoppe, ist mir nicht klar. Gruß Klaus
Re: ssh iptables
Am Dienstag 25 April 2006 21:12 schrieb Klaus Becker: Wie ich jetzt die Firewall starte/stoppe, ist mir nicht klar. Hallo.. soweit ich weiß muss man iptables Regeln per init script bei jedem start neu definieren... sofern du also die regeln nicht mehr festlegts dürften sich auch nicht mehr da sein... die firewall ist also gestoppt... warte aber lieber noch auf andere antworten... ich bin recht neu in der materie und kann dir deshalb speziell bei deinem problem gar nicht helfen :( mfg
Re: ssh iptables
Moin, On Tue, Apr 25, 2006 at 09:12:00PM +0200, Klaus Becker wrote: n'Abend, ich habe Guarddog, das ich bis jetzt benutzt habe, rausgeschmissen und benutze jetzt iptables. Auf Rechner1 und Rechner2 habe ich die gleichen Dateien /etc/network/if-pre-up.d/iptables-start, in denen u. A. steht: iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A INPUT -p udp --dport 22 -j ACCEPT Eine SSH-Verbindung ist nicht mehr möglich. Von Rechner1 aus hängt sie, von Rechner2 aus bekomme ich die Meldung, die Verbindung zu Port 22 auf Rechner1 werde zurückgewiesen. was fuer Zeilen stehen denn VOR diesen hier? Wenn da irgendsowas wie iptables -A INPUT -p tcp -j DROP steht, kann nix gehen ... Fueg doch direkt davor einen LOG Eintrag ein, damit Du im syslog was mehr siehst. Achja, laeuft denn auch ein sshd und erlaubt dieser auch Zugriffe? Ich hatte übrigens das gleiche Problem mit Guarddog. Dort hatte ich zwar SSH erlaubt, es klappte aber trotzdem nicht, ich musste die Firewall stoppen. Das ging entweder in der Gui oder mit /etc/init.d/guarddog stop. Wie ich jetzt die Firewall starte/stoppe, ist mir nicht klar. Schau Dir mal die Schalter -F und -P zu iptables an ... Gruss -- hgb -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ssh iptables
Also sprach Klaus Becker [EMAIL PROTECTED] (Tue, 25 Apr 2006 21:12:00 +0200): n'Abend, ich habe Guarddog, das ich bis jetzt benutzt habe, rausgeschmissen und benutze jetzt iptables. Auf Rechner1 und Rechner2 habe ich die gleichen Dateien /etc/network/if-pre-up.d/iptables-start, in denen u. A. steht: iptables -A INPUT -p tcp --dport 22 -j ACCEPT tcp ist genug. iptables -A INPUT -p udp --dport 22 -j ACCEPT Eine SSH-Verbindung ist nicht mehr möglich. Von Rechner1 aus hängt sie, von Rechner2 aus bekomme ich die Meldung, die Verbindung zu Port 22 auf Rechner1 werde zurückgewiesen. Nur mit obiger Zeile kann ich dir hier nicht weiterhelfen.. Ich hatte übrigens das gleiche Problem mit Guarddog. Dort hatte ich zwar SSH erlaubt, es klappte aber trotzdem nicht, ich musste die Firewall stoppen. Das ging entweder in der Gui oder mit /etc/init.d/guarddog stop. Wie ich jetzt die Firewall starte/stoppe, ist mir nicht klar. Ich mach' mir meine firewallscripts selber, und stell' es so ein, dass ich's mit flush und mit start aufrufen kann. flush (loeschen aller rules) tut im Grossen folgendes: iptables -F; iptables -X; iptables -P wo ACCEPT man iptables Gruß Klaus sl ritch
Re: ssh iptables
am 25.04.2006, um 21:12:00 +0200 mailte Klaus Becker folgendes: n'Abend, ich habe Guarddog, das ich bis jetzt benutzt habe, rausgeschmissen und benutze jetzt iptables. Auf Rechner1 und Rechner2 habe ich die gleichen Dateien /etc/network/if-pre-up.d/iptables-start, in denen u. A. steht: iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A INPUT -p udp --dport 22 -j ACCEPT TCP reicht, dafür solltest Du aber beachten, daß Kommunikation in beide Richtugen erfolgen muß. Wenn also Deine Policy auf DROP steht (sollte sie) und Du, aus welchen Gründen auch immer, die schöne Fähigkeit mit dem Namen 'stateful filtering' nicht nutzt, dann _kann_ das nicht gehen. Eine SSH-Verbindung ist nicht mehr möglich. Von Rechner1 aus hängt sie, von Rechner2 aus bekomme ich die Meldung, die Verbindung zu Port 22 auf Rechner1 werde zurückgewiesen. *Vermutlich* resultierend aus dem, was ich oben schrieb. Ich hatte übrigens das gleiche Problem mit Guarddog. Dort hatte ich zwar SSH erlaubt, es klappte aber trotzdem nicht, ich musste die Firewall stoppen. Das ging entweder in der Gui oder mit /etc/init.d/guarddog stop. Wie ich jetzt die Firewall starte/stoppe, ist mir nicht klar. Ich auch nicht. Ich setze eine Firewall auf dem Gateway-Rechner ein, da ist nix mit GUI. Also einfach ein Start/Stop-Skript mit den iptables-Regeln, und das in gewohnter Weise mit /etc/init.d/firewall starten/stoppen. Das regelt... Andreas -- Andreas Kretschmer(Kontakt: siehe Header) Heynitz: 035242/47215, D1: 0160/7141639 GnuPG-ID 0x3FFF606C http://wwwkeys.de.pgp.net ===Schollglas Unternehmensgruppe=== -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ssh + iptables : GELÖ ST
On Fri, Apr 21, 2006 at 11:38:08PM +0200, Andreas Pakulat wrote: Ist ja auch nichts verkehrt dran. Aber hinter einem Router kannst du dir einen 2. Paketfilter im Heimbetrieb im Normalfall sparen, jedenfalls was den Stimmt, aber ich z.B. habe ihn bei mir auch noch laufen, wegen 1. Schad' nix und 2. Wenn der HW-Router mal ausfällt, muß der Rechner wieder direkt ans Netz (entweder DSL oder ISDN), und da alles neu aufsetzen wär' ja Blödsinn. ciao, Dirk -- | Akkuschrauber Kaufberatung and AEG GSM stuff | | Visit my homepage: http://www.nutrimatic.ping.de/ | | FIDO: Dirk Salva 2:244/6305.10 Internet: dsalvaATgmx.de | |The Ruhrgebiet, best place to live in Germany! | -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ssh + iptables
Marco Estrada Martinez schrieb: Scheint also ein forwardprob zu sein hat jemand ne idee. iptablesregel für ssh auf server: $IPTABLES -A INPUT -i $LAN_INTERFACE -m state --state NEW,ESTABLISHED,RELATED -s $LAN_IP_RANGE -p tcp --dport 22 -j ACCEPT Result $? $IPTABLES -A OUTPUT -o $WWW_INTERFACE -p tcp --sport 22 -m state --state RELATED,ESTABLISHED -j ACCEPT Result $? wenn ich das richtig sehe hast du ja gar kein forwarding in den IPtables für den Laptop erlaubt. versuch mal etwas in dieser richtung: $IPTABLES -A FORWARD -s Laptop-IP -j ACCEPT Außerdem bin ich mir nicht sicher ob du ggf. masquerading brauchst, aber ich denke ja: $IPTABLES -t nat -A POSTROUTING -j MASQUERADE hth Andre -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
ssh + iptables
Hi @ all, System: 2x PC's Server running iptables, verbindung zum Inet Lapi ohne iptables, per wlan verbunden mit server Problem: Alle Verbindungen funktionieren Wenn ich vom Server ssh marcomartinez.de aufrufen gehtr alles wenn ich es vom Lapi mache bleibt er hängen. Scheint also ein forwardprob zu sein hat jemand ne idee. iptablesregel für ssh auf server: $IPTABLES -A INPUT -i $LAN_INTERFACE -m state --state NEW,ESTABLISHED,RELATED -s $LAN_IP_RANGE -p tcp --dport 22 -j ACCEPT Result $? $IPTABLES -A OUTPUT -o $WWW_INTERFACE -p tcp --sport 22 -m state --state RELATED,ESTABLISHED -j ACCEPT Result $? Sonst funktioniert dass script wie es soll. die Variablenwerte stimmen. Ich meine mir fehhlt noch ne Regel. Danke -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ssh + iptables
On 21.04.06 19:21:04, Marco Estrada Martinez wrote: Hi @ all, System: 2x PC's Server running iptables, verbindung zum Inet Lapi ohne iptables, per wlan verbunden mit server Problem: Alle Verbindungen funktionieren Wenn ich vom Server ssh marcomartinez.de aufrufen gehtr alles wenn ich es vom Lapi mache bleibt er hängen. Scheint also ein forwardprob zu sein hat jemand ne idee. iptablesregel für ssh auf server: $IPTABLES -A INPUT -i $LAN_INTERFACE -m state --state NEW,ESTABLISHED,RELATED -s $LAN_IP_RANGE -p tcp --dport 22 -j ACCEPT Result $? $IPTABLES -A OUTPUT -o $WWW_INTERFACE -p tcp --sport 22 -m state --state RELATED,ESTABLISHED -j ACCEPT Result $? Sonst funktioniert dass script wie es soll. die Variablenwerte stimmen. Ich meine mir fehhlt noch ne Regel. Du moechtest dich nochmal ueber iptables schlau machen. Obiges sind INPUT und OUTPUT, aber bei der _Weiterleitung_ von Paketen ist die FORWARD chain die interessante. Funktionieren http Co? Dann hast du fuer diese vmtl. eine entsprechende FORWARD Regel, die um ssh erweitern musst. Weitere Dinge die du pruefen kannst: ip_forward eingeschaltet (in Sarge in /etc/network/options, in Testing/Unstable in /etc/sysctl.conf)? Wie sieht das Masquerading aus (sprich wie schauen da die Regeln aus)? Andreas -- You will soon meet a person who will play an important role in your life. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ssh + iptables
On Fri, Apr 21, 2006 at 07:21:04PM +0200, Marco Estrada Martinez wrote: Problem: Alle Verbindungen funktionieren Wenn ich vom Server ssh marcomartinez.de aufrufen gehtr alles wenn ich es vom Lapi mache bleibt er hängen. $IPTABLES -A INPUT -i $LAN_INTERFACE -m state --state NEW,ESTABLISHED,RELATED -s $LAN_IP_RANGE -p tcp --dport 22 -j ACCEPT Result $? $IPTABLES -A OUTPUT -o $WWW_INTERFACE -p tcp --sport 22 -m state --state RELATED,ESTABLISHED -j ACCEPT Result $? Du suchst -A FORWARD. Siehe z.B. http://cs.senecac.on.ca/~selmys/subjects/sec830-051/iptables.gif Zusätzlich sollte /proc/sys/net/ipv4/ip_forward aktiv sein. cu ulf -- Ulf Volmer [EMAIL PROTECTED] www.u-v.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ssh + iptables
Ulf Volmer schrieb: On Fri, Apr 21, 2006 at 07:21:04PM +0200, Marco Estrada Martinez wrote: Problem: Alle Verbindungen funktionieren Wenn ich vom Server ssh marcomartinez.de aufrufen gehtr alles wenn ich es vom Lapi mache bleibt er hängen. $IPTABLES -A INPUT -i $LAN_INTERFACE -m state --state NEW,ESTABLISHED,RELATED -s $LAN_IP_RANGE -p tcp --dport 22 -j ACCEPT Result $? $IPTABLES -A OUTPUT -o $WWW_INTERFACE -p tcp --sport 22 -m state --state RELATED,ESTABLISHED -j ACCEPT Result $? Du suchst -A FORWARD. Siehe z.B. http://cs.senecac.on.ca/~selmys/subjects/sec830-051/iptables.gif Zusätzlich sollte /proc/sys/net/ipv4/ip_forward aktiv sein. Mh, das es ne -A FORWARD ist ist mir klar. aber wie? ip_forward ist mi ## ROUTING AKTIVIEREN echo 1 /proc/sys/net/ipv4/ip_forward 2 /dev/null eingeschalten. Forward habe ich m $IPTABLES -A FORWARD -o $WWW_INTERFACE -m state --state NEW -p tcp --sport 1024: --dport 22 -j ACCEPT einschalten wollen. klappt aber ne ;o( ir cu ulf -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ssh + iptables
On Fri, Apr 21, 2006 at 08:25:26PM +0200, Marco Estrada Martinez wrote: Forward habe ich m $IPTABLES -A FORWARD -o $WWW_INTERFACE -m state --state NEW -p tcp --sport 1024: --dport 22 -j ACCEPT einschalten wollen. klappt aber ne ;o( Fehlermeldung? Hast du auch das multiport-Modul geladen? cu ulf -- Ulf Volmer [EMAIL PROTECTED] www.u-v.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ssh + iptables
Ulf Volmer schrieb: On Fri, Apr 21, 2006 at 08:25:26PM +0200, Marco Estrada Martinez wrote: Forward habe ich m $IPTABLES -A FORWARD -o $WWW_INTERFACE -m state --state NEW -p tcp --sport 1024: --dport 22 -j ACCEPT einschalten wollen. klappt aber ne ;o( Fehlermeldung? nein garkeine Hast du auch das multiport-Modul geladen? Nein wie heisst das? cu ulf -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ssh + iptables
On Fri, Apr 21, 2006 at 08:54:32PM +0200, Marco Estrada Martinez wrote: Ulf Volmer schrieb: On Fri, Apr 21, 2006 at 08:25:26PM +0200, Marco Estrada Martinez wrote: Forward habe ich m $IPTABLES -A FORWARD -o $WWW_INTERFACE -m state --state NEW -p tcp --sport 1024: --dport 22 -j ACCEPT einschalten wollen. klappt aber ne ;o( Fehlermeldung? nein garkeine Hast du auch das multiport-Modul geladen? Nein wie heisst das? ipt_multiport cu ulf -- Ulf Volmer [EMAIL PROTECTED] www.u-v.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ssh + iptables
On 21.04.06 20:25:26, Marco Estrada Martinez wrote: Ulf Volmer schrieb: On Fri, Apr 21, 2006 at 07:21:04PM +0200, Marco Estrada Martinez wrote: Problem: Alle Verbindungen funktionieren Wenn ich vom Server ssh marcomartinez.de aufrufen gehtr alles wenn ich es vom Lapi mache bleibt er hängen. $IPTABLES -A INPUT -i $LAN_INTERFACE -m state --state NEW,ESTABLISHED,RELATED -s $LAN_IP_RANGE -p tcp --dport 22 -j ACCEPT Result $? $IPTABLES -A OUTPUT -o $WWW_INTERFACE -p tcp --sport 22 -m state --state RELATED,ESTABLISHED -j ACCEPT Result $? Du suchst -A FORWARD. Siehe z.B. http://cs.senecac.on.ca/~selmys/subjects/sec830-051/iptables.gif Zusätzlich sollte /proc/sys/net/ipv4/ip_forward aktiv sein. Mh, das es ne -A FORWARD ist ist mir klar. aber wie? Wie jede andere Chain auch. Forward habe ich m $IPTABLES -A FORWARD -o $WWW_INTERFACE -m state --state NEW -p tcp --sport 1024: --dport 22 -j ACCEPT Da solltest du noch ein paar mehr states erlauben, sonst kommt nur das 1. Paket der ssh-Sitzung durch. einschalten wollen. klappt aber ne ;o( Fehlermeldung, oder kommst du trotzdem nicht raus? Funktioniert dein Masquerading, sprich gehen Dinge wie http, ftp und smtp? Hast du dort evtl. was eingeschraenkt. Andreas -- You will pass away very quickly. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ssh + iptables
On 21.04.06 20:45:41, Ulf Volmer wrote: On Fri, Apr 21, 2006 at 08:25:26PM +0200, Marco Estrada Martinez wrote: Forward habe ich m $IPTABLES -A FORWARD -o $WWW_INTERFACE -m state --state NEW -p tcp --sport 1024: --dport 22 -j ACCEPT einschalten wollen. klappt aber ne ;o( Hast du auch das multiport-Modul geladen? Wozu soll er das benoetigen? Andreas -- Good day for overcoming obstacles. Try a steeplechase. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ssh + iptables
Andreas Pakulat schrieb: On 21.04.06 20:25:26, Marco Estrada Martinez wrote: Ulf Volmer schrieb: On Fri, Apr 21, 2006 at 07:21:04PM +0200, Marco Estrada Martinez wrote: Problem: Alle Verbindungen funktionieren Wenn ich vom Server ssh marcomartinez.de aufrufen gehtr alles wenn ich es vom Lapi mache bleibt er hängen. $IPTABLES -A INPUT -i $LAN_INTERFACE -m state --state NEW,ESTABLISHED,RELATED -s $LAN_IP_RANGE -p tcp --dport 22 -j ACCEPT Result $? $IPTABLES -A OUTPUT -o $WWW_INTERFACE -p tcp --sport 22 -m state --state RELATED,ESTABLISHED -j ACCEPT Result $? Du suchst -A FORWARD. Siehe z.B. http://cs.senecac.on.ca/~selmys/subjects/sec830-051/iptables.gif Zusätzlich sollte /proc/sys/net/ipv4/ip_forward aktiv sein. Mh, das es ne -A FORWARD ist ist mir klar. aber wie? Wie jede andere Chain auch. Forward habe ich m $IPTABLES -A FORWARD -o $WWW_INTERFACE -m state --state NEW -p tcp --sport 1024: --dport 22 -j ACCEPT Da solltest du noch ein paar mehr states erlauben, sonst kommt nur das 1. Paket der ssh-Sitzung durch. einschalten wollen. klappt aber ne ;o( Fehlermeldung, oder kommst du trotzdem nicht raus? Funktioniert dein Masquerading, sprich gehen Dinge wie http, ftp und smtp? Hast du dort evtl. was eingeschraenkt. Andreas naja garkeine Fehlermeldung. ich habe gerade mitbekommen das auch wenn ich dir firewall ausschalte ich vom lapi nicht ins internet pingen kann. http, ftp usw. gehen ja über den proxy. scheint also irgendein allgemeines problem mit dem routing sein. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ssh + iptables
On Fri, Apr 21, 2006 at 09:01:03PM +0200, Andreas Pakulat wrote: On 21.04.06 20:45:41, Ulf Volmer wrote: On Fri, Apr 21, 2006 at 08:25:26PM +0200, Marco Estrada Martinez wrote: Forward habe ich m $IPTABLES -A FORWARD -o $WWW_INTERFACE -m state --state NEW -p tcp --sport 1024: --dport 22 -j ACCEPT einschalten wollen. klappt aber ne ;o( Hast du auch das multiport-Modul geladen? Wozu soll er das benoetigen? Für --sport/dport? Sagt zumindest iptables(8). cu ulf -- Ulf Volmer [EMAIL PROTECTED] www.u-v.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ssh + iptables
On Fri, Apr 21, 2006 at 09:20:17PM +0200, Ulf Volmer wrote: On Fri, Apr 21, 2006 at 09:01:03PM +0200, Andreas Pakulat wrote: On 21.04.06 20:45:41, Ulf Volmer wrote: On Fri, Apr 21, 2006 at 08:25:26PM +0200, Marco Estrada Martinez wrote: Forward habe ich m $IPTABLES -A FORWARD -o $WWW_INTERFACE -m state --state NEW -p tcp --sport 1024: --dport 22 -j ACCEPT einschalten wollen. klappt aber ne ;o( Hast du auch das multiport-Modul geladen? Wozu soll er das benoetigen? Für --sport/dport? Sagt zumindest iptables(8). Ingrid: Kommando zurück, für --sport 1024: braucht's kein multiport, nur für --sport 1,2,3 cu ulf -- Ulf Volmer [EMAIL PROTECTED] www.u-v.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ssh + iptables
Ulf Volmer schrieb: On Fri, Apr 21, 2006 at 09:20:17PM +0200, Ulf Volmer wrote: On Fri, Apr 21, 2006 at 09:01:03PM +0200, Andreas Pakulat wrote: On 21.04.06 20:45:41, Ulf Volmer wrote: On Fri, Apr 21, 2006 at 08:25:26PM +0200, Marco Estrada Martinez wrote: Forward habe ich m $IPTABLES -A FORWARD -o $WWW_INTERFACE -m state --state NEW -p tcp --sport 1024: --dport 22 -j ACCEPT einschalten wollen. klappt aber ne ;o( Hast du auch das multiport-Modul geladen? Wozu soll er das benoetigen? Für --sport/dport? Sagt zumindest iptables(8). Ingrid: Kommando zurück, für --sport 1024: braucht's kein multiport, nur für --sport 1,2,3 OK. nun scheint wirklich irgendwie das Problem nicht mehr an iptables zu liegen. ich kann von meinen Lapi bei ausgeschaltener firewall auch keinen ping ins inet schicken. vom pc der am dsl-router hängt geht alles. das verstehe ich jetzt ne ganz. http und ftp gehen. cu ulf -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ssh + iptables
On Fri, Apr 21, 2006 at 09:14:36PM +0200, Marco Estrada Martinez wrote: Andreas Pakulat schrieb: Fehlermeldung, oder kommst du trotzdem nicht raus? Funktioniert dein Masquerading, sprich gehen Dinge wie http, ftp und smtp? Hast du dort evtl. was eingeschraenkt. Andreas naja garkeine Fehlermeldung. ich habe gerade mitbekommen das auch wenn ich dir firewall ausschalte ich vom lapi nicht ins internet pingen kann. http, ftp usw. gehen ja über den proxy. scheint also irgendein allgemeines problem mit dem routing sein. Wenn die FW *aus* ist, hast du niemanden, der das Masquerading erledigt. (Poste doch mal die kompl. Regeln) Wenn du bisher via Proxy ist Netz gehst, ist ggf, auf dem Laptop keine (korrekte) Defaultroute gesetzt? cu ulf -- Ulf Volmer [EMAIL PROTECTED] www.u-v.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ssh + iptables
On Fri, Apr 21, 2006 at 09:40:00PM +0200, Marco Estrada Martinez wrote: OK. nun scheint wirklich irgendwie das Problem nicht mehr an iptables zu liegen. ich kann von meinen Lapi bei ausgeschaltener firewall auch keinen ping ins inet schicken. vom pc der am dsl-router hängt geht alles. das verstehe ich jetzt ne ganz. http und ftp gehen. Lezteres aber via Proxy, wenn ich dich richtig verstanden habe? cu ulf -- Ulf Volmer [EMAIL PROTECTED] www.u-v.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ssh + iptables
On 2006-04-21 19:21:04 +0200, Marco Estrada Martinez wrote: System: 2x PC's Server running iptables, verbindung zum Inet Lapi ohne iptables, per wlan verbunden mit server Dann muss der Server Masquerading machen, z.B. so iptables -t nat -A POSTROUTING -o $INTERFACE_INET -s $WLAN_NETZ -j MASQUERADE (wenn das erstmal funktioniert, kann es noch beliebig eingrenzt werden) und natürlich muss ip_forward eingeschaltet worden sein. Michael -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ssh + iptables
Ulf Volmer schrieb:
On Fri, Apr 21, 2006 at 09:14:36PM +0200, Marco Estrada Martinez wrote:
Andreas Pakulat schrieb:
Fehlermeldung, oder kommst du trotzdem nicht raus? Funktioniert dein
Masquerading, sprich gehen Dinge wie http, ftp und smtp? Hast du dort
evtl. was eingeschraenkt.
Andreas
naja garkeine Fehlermeldung. ich habe gerade mitbekommen das auch wenn
ich dir firewall ausschalte ich vom lapi nicht ins internet pingen kann.
http, ftp usw. gehen ja über den proxy. scheint also irgendein
allgemeines problem mit dem routing sein.
Wenn die FW *aus* ist, hast du niemanden, der das Masquerading erledigt.
(Poste doch mal die kompl. Regeln)
## komplettes Script
#!/bin/bash
#
# Copyright: (C) 2005 by MarcoMartinez.de
# Version: 1.0
# Author: Marco Estrada Martinez
#
# lines und columns ermitteln
#eval `stty size 2/dev/null | (read L C; echo LINES=${L:-24}
COLUMNS=${C:-80})`
#export LINES COLUMNS
# VARIABLEN
IPTABLES=`which iptables`
LAN_INTERFACE=wlan0
WWW_INTERFACE=eth0
LAN_IP_RANGE=192.168.23.0/24
LAN_BROADCAST=192.168.23.255
MY_LAN_IP=192.168.23.1
MY_WWW_IP=192.168.22.1
ERROR=0
# escapezeichen f|r ausgabe
#esc=`echo -en \033`
#warn=${esc}[1;31m
#done=${esc}[1;32m
#norm=`echo -en ${esc}[m\017`
#stat=`echo -en \015${esc}[${COLUMNS}C${esc}[10D`
#extd=${esc}[1m
FUNCTIONEN
function Result {
# aufruf: $? len from outputstring
# vars
#strDone=${stat}${done}done${norm}
#strFailed=${stat}${warn}failed${norm}
if test $1 -ne 0 ; then
#echo $strFailed
ERROR=$((ERROR + 1))
#else
#echo $strDone
fi
}
case $1 in
start)
echo -n Starting Firewall
# $IPTABLES-Modul
modprobe ip_tables
Result $?
# Connection-Tracking-Module
modprobe ip_conntrack
Result $?
# Das Modul ip_conntrack_irc ist erst bei Kerneln = 2.4.19 verfuegbar
modprobe ip_conntrack_irc
Result $?
modprobe ip_conntrack_ftp
Result $?
modprobe iptable_nat
Result $?
modprobe ipt_MASQUERADE
Result $?
modprobe ipt_REJECT
Result $?
modprobe ipt_multiport
Result $?
## ROUTING AKTIVIEREN
echo 1 /proc/sys/net/ipv4/ip_forward 2 /dev/null
Result $?
## MASQUERADING AKTIVIEREN
$IPTABLES -t nat -A POSTROUTING -s $LAN_IP_RANGE -p all -o
$WWW_INTERFACE -j MASQUERADE
Result $?
# SYN-Cookies
echo 1 /proc/sys/net/ipv4/tcp_syncookies 2 /dev/null
Result $?
# Tabelle flushen
#echo -n Tables flushen ...
$IPTABLES -F
Result $?
$IPTABLES -t nat -F
Result $?
$IPTABLES -t mangle -F
Result $?
$IPTABLES -X
Result $?
$IPTABLES -t nat -X
Result $?
$IPTABLES -t mangle -X
Result $?
# Default-Policies setzen
#echo -n Default-Polices setzen ...
$IPTABLES -P INPUT DROP
Result $?
$IPTABLES -P OUTPUT DROP
Result $?
$IPTABLES -P FORWARD DROP
Result $?
# MY_REJECT-Chain
$IPTABLES -N MY_REJECT
Result $?
# MY_REJECT fuellen
$IPTABLES -A MY_REJECT -p tcp -m limit --limit 7200/h -j LOG
--log-prefix REJECT TCP
Result $?
$IPTABLES -A MY_REJECT -p tcp -j REJECT --reject-with tcp-reset
Result $?
$IPTABLES -A MY_REJECT -p udp -m limit --limit 7200/h -j LOG
--log-prefix REJECT UDP
Result $?
$IPTABLES -A MY_REJECT -p udp -j REJECT --reject-with
icmp-port-unreachable
Result $?
$IPTABLES -A MY_REJECT -p icmp -m limit --limit 7200/h -j LOG
--log-prefix DROP ICMP
Result $?
$IPTABLES -A MY_REJECT -p icmp -j DROP
Result $?
$IPTABLES -A MY_REJECT -m limit --limit 7200/h -j LOG --log-prefix
REJECT OTHER
Result $?
$IPTABLES -A MY_REJECT -j REJECT --reject-with icmp-proto-unreachable
Result $?
# MY_DROP-Chain
$IPTABLES -N MY_DROP
Result $?
$IPTABLES -A MY_DROP -m limit --limit 7200/h -j LOG --log-prefix
PORTSCAN DROP
Result $?
$IPTABLES -A MY_DROP -j DROP
Result $?
# Alle verworfenen Pakete protokollieren
$IPTABLES -A INPUT -m state --state INVALID -m limit --limit 7200/h
-j LOG --log-prefix INPUT INVALID
Result $?
$IPTABLES -A OUTPUT -m state --state INVALID -m limit --limit 7200/h
-j LOG --log-prefix OUTPUT INVALID
Result $?
$IPTABLES -A FORWARD -m state --state INVALID -m limit --limit
7200/h -j LOG --log-prefix FORWARD INVALID
Result $?
# Korrupte Pakete zurueckweisen
$IPTABLES -A INPUT -m state --state INVALID -j DROP
Result $?
$IPTABLES -A OUTPUT -m state --state INVALID -j DROP
Result $?
$IPTABLES -A FORWARD -m state --state INVALID -j DROP
Result $?
# Stealth Scans etc. DROPpen
# Keine Flags gesetzt
$IPTABLES -A INPUT -p tcp --tcp-flags ALL NONE -j MY_DROP
Result $?
$IPTABLES -A FORWARD -p tcp --tcp-flags ALL NONE -j MY_DROP
Result $?
# SYN und FIN gesetzt
$IPTABLES -A INPUT -p tcp
Re: ssh + iptables
Michael Bienia schrieb: On 2006-04-21 19:21:04 +0200, Marco Estrada Martinez wrote: System: 2x PC's Server running iptables, verbindung zum Inet Lapi ohne iptables, per wlan verbunden mit server Dann muss der Server Masquerading machen, z.B. so iptables -t nat -A POSTROUTING -o $INTERFACE_INET -s $WLAN_NETZ -j MASQUERADE (wenn das erstmal funktioniert, kann es noch beliebig eingrenzt werden) und natürlich muss ip_forward eingeschaltet worden sein. Michael mache ich mit dieser Regel doch, oder? $IPTABLES -t nat -A POSTROUTING -s $LAN_IP_RANGE -p all -o $WWW_INTERFACE -j MASQUERADE Marco -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ssh + iptables
On 21.04.06 21:32:17, Ulf Volmer wrote: On Fri, Apr 21, 2006 at 09:20:17PM +0200, Ulf Volmer wrote: On Fri, Apr 21, 2006 at 09:01:03PM +0200, Andreas Pakulat wrote: On 21.04.06 20:45:41, Ulf Volmer wrote: On Fri, Apr 21, 2006 at 08:25:26PM +0200, Marco Estrada Martinez wrote: Forward habe ich m $IPTABLES -A FORWARD -o $WWW_INTERFACE -m state --state NEW -p tcp --sport 1024: --dport 22 -j ACCEPT einschalten wollen. klappt aber ne ;o( Hast du auch das multiport-Modul geladen? Wozu soll er das benoetigen? Für --sport/dport? Sagt zumindest iptables(8). Ingrid: Ich heisse aber nicht Ingrid und der OP auch nicht ;-) Kommando zurück, für --sport 1024: braucht's kein multiport, nur für --sport 1,2,3 Schon wieder falsch: Vergleiche mal --sport_s_ gegen --sport (analog dport), das _s_ ist der ausschlaggebende Faktor. Andreas -- Don't look back, the lemmings are gaining on you. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ssh + iptables
On 21.04.06 21:41:16, Ulf Volmer wrote: On Fri, Apr 21, 2006 at 09:14:36PM +0200, Marco Estrada Martinez wrote: Andreas Pakulat schrieb: Fehlermeldung, oder kommst du trotzdem nicht raus? Funktioniert dein Masquerading, sprich gehen Dinge wie http, ftp und smtp? Hast du dort evtl. was eingeschraenkt. Andreas naja garkeine Fehlermeldung. ich habe gerade mitbekommen das auch wenn ich dir firewall ausschalte ich vom lapi nicht ins internet pingen kann. http, ftp usw. gehen ja über den proxy. scheint also irgendein allgemeines problem mit dem routing sein. Wenn die FW *aus* ist, hast du niemanden, der das Masquerading erledigt. (Poste doch mal die kompl. Regeln) Richtig, damit dein Rechner ins Netz kommt brauchst du Masquerading, genaueres dazu findest du in der ausfuehrlichen Doku auf www.netfilter.org. Stichpunkt NAT/DNAT, aber IIRC gibts auch einen extra Punkt fuer Masquerading. Wenn du bisher via Proxy ist Netz gehst, ist ggf, auf dem Laptop keine (korrekte) Defaultroute gesetzt? Dafuer Marco solltest du uns mal die Konfiguration des Netzwerkinterfaces (/etc/network/interfaces) zukommen lassen oder wenigstens sagen ob auf dem PC ein dhcp-Server laeuft (der PC ist doch die andere Seite des WLAN oder?). Andreas -- Don't feed the bats tonight. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ssh + iptables
Hallo Marco, Marco Estrada Martinez, 21.04.2006 (d.m.y): OK. nun scheint wirklich irgendwie das Problem nicht mehr an iptables zu liegen. ich kann von meinen Lapi bei ausgeschaltener firewall auch keinen ping ins inet schicken. Wenn Du den Paketfilter abschaltest, werden auch eventuell fuer das Forwarding definierte Regeln unwirksam. btw: Wie sieht Deine Routing-Tabelle aus? Wenn der Server fuer den Laptop als Router fungieren soll, dann musst Du auf dem Laptop auch die IP-Adresse des Servers als Default Gateway angeben. vom pc der am dsl-router hängt geht alles. Da muessen die Pakete auch nicht durch die FORWARD-Chain von iptables. das verstehe ich jetzt ne ganz. http und ftp gehen. Proxy? Gruss, Christian Schmidt -- Das Gewissen ist die Wunde, die nie heilt und an der keiner stirbt. -- Christian Friedrich Hebbel signature.asc Description: Digital signature
Re: ssh + iptables
Andreas Pakulat schrieb: On 21.04.06 21:41:16, Ulf Volmer wrote: On Fri, Apr 21, 2006 at 09:14:36PM +0200, Marco Estrada Martinez wrote: Andreas Pakulat schrieb: Fehlermeldung, oder kommst du trotzdem nicht raus? Funktioniert dein Masquerading, sprich gehen Dinge wie http, ftp und smtp? Hast du dort evtl. was eingeschraenkt. Andreas naja garkeine Fehlermeldung. ich habe gerade mitbekommen das auch wenn ich dir firewall ausschalte ich vom lapi nicht ins internet pingen kann. http, ftp usw. gehen ja über den proxy. scheint also irgendein allgemeines problem mit dem routing sein. Wenn die FW *aus* ist, hast du niemanden, der das Masquerading erledigt. (Poste doch mal die kompl. Regeln) Richtig, damit dein Rechner ins Netz kommt brauchst du Masquerading, genaueres dazu findest du in der ausfuehrlichen Doku auf www.netfilter.org. Stichpunkt NAT/DNAT, aber IIRC gibts auch einen extra Punkt fuer Masquerading. Wenn du bisher via Proxy ist Netz gehst, ist ggf, auf dem Laptop keine (korrekte) Defaultroute gesetzt? Dafuer Marco solltest du uns mal die Konfiguration des Netzwerkinterfaces (/etc/network/interfaces) zukommen lassen oder wenigstens sagen ob auf dem PC ein dhcp-Server laeuft (der PC ist doch die andere Seite des WLAN oder?). Andreas Ja, auf dem Server ist ne Wlankarte eth0 drin die Verbindung zum DSL-Router per Kabel hat(IP:DSL-Router 192.168.22.100) /etc/network/interfaces vom PC # This file describes the network interfaces available on your system # and how to activate them. For more information, see interfaces(5). # The loopback network interface auto lo iface lo inet loopback # The primary network interface auto eth0 iface eth0 inet static address 192.168.22.101 netmask 255.255.255.0 network 192.168.22.0 broadcast 192.168.22.255 gateway 192.168.22.100 # dns-* options are implemented by the resolvconf package, if installed dns-nameservers 192.168.23.1 192.168.22.100 dns-search matrix Die WLAN-Karte bekommt die IP 192.168.23.1 und es läuft ein DHCP (dnsmasq) der Lapi holt sich alle Daten default, IP, Name ... vom DHCP die wlankarte wird durch ein Script mit iwconfig eingerichtet. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ssh + iptables
Christian Schmidt schrieb: Hallo Marco, Marco Estrada Martinez, 21.04.2006 (d.m.y): OK. nun scheint wirklich irgendwie das Problem nicht mehr an iptables zu liegen. ich kann von meinen Lapi bei ausgeschaltener firewall auch keinen ping ins inet schicken. Wenn Du den Paketfilter abschaltest, werden auch eventuell fuer das Forwarding definierte Regeln unwirksam. btw: Wie sieht Deine Routing-Tabelle aus? Wenn der Server fuer den Laptop als Router fungieren soll, dann musst Du auf dem Laptop auch die IP-Adresse des Servers als Default Gateway angeben. Routingtabelle vom Lapi Kernel IP Routentabelle ZielRouter Genmask Flags Metric RefUse Iface 192.168.23.0* 255.255.255.0 U 0 00 wlan0 localnet* 255.255.255.0 U 0 00 eth0 default morpheus.matrix 0.0.0.0 UG0 00 wlan0 vom pc der am dsl-router hängt geht alles. Da muessen die Pakete auch nicht durch die FORWARD-Chain von iptables. das verstehe ich jetzt ne ganz. http und ftp gehen. Proxy? Gruss, Christian Schmidt -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ssh + iptables
On 21.04.06 22:49:38, Marco Estrada Martinez wrote: Ulf Volmer schrieb: On Fri, Apr 21, 2006 at 09:14:36PM +0200, Marco Estrada Martinez wrote: Andreas Pakulat schrieb: Wenn die FW *aus* ist, hast du niemanden, der das Masquerading erledigt. (Poste doch mal die kompl. Regeln) Ich nehme mal nicht an dass du viel von dem verstehst was da unten steht oder? Ich schaetze mal ein Grossteil davon ist ueberfluessig, da du ja eh hinter einem DSL-Router sitzt (oder wars nur ein Modem). Ich hab mir das aber nicht weiter angeschaut... ## MASQUERADING AKTIVIEREN $IPTABLES -t nat -A POSTROUTING -s $LAN_IP_RANGE -p all -o $WWW_INTERFACE -j MASQUERADE # Tabelle flushen #echo -n Tables flushen ... $IPTABLES -F Result $? $IPTABLES -t nat -F Result $? $IPTABLES -t mangle -F Und da ist auch schon dein Problem. Du aktivierst zwar das Masquerading korrekt, aber leider _vor_ dem Flushen der Tabellen. An diesem Punkt im Skript gibts keine Masquerading Regel mehr und dein PC kann die Antwortpakete auf deine Anfragen ins Netz nicht mehr zurueck zu deinem Laptop zustellen. Setze die Masquerade-Regel weiter unten an, dann wirds auch was mit dem Internet ;-) Andreas -- Fine day to work off excess energy. Steal something heavy. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ssh + iptables : GELÖST
Andreas Pakulat schrieb: On 21.04.06 22:49:38, Marco Estrada Martinez wrote: Ulf Volmer schrieb: On Fri, Apr 21, 2006 at 09:14:36PM +0200, Marco Estrada Martinez wrote: Andreas Pakulat schrieb: Wenn die FW *aus* ist, hast du niemanden, der das Masquerading erledigt. (Poste doch mal die kompl. Regeln) Ich nehme mal nicht an dass du viel von dem verstehst was da unten steht oder? Ich schaetze mal ein Grossteil davon ist ueberfluessig, da du ja eh hinter einem DSL-Router sitzt (oder wars nur ein Modem). Ich hab mir das aber nicht weiter angeschaut... ## MASQUERADING AKTIVIEREN $IPTABLES -t nat -A POSTROUTING -s $LAN_IP_RANGE -p all -o $WWW_INTERFACE -j MASQUERADE # Tabelle flushen #echo -n Tables flushen ... $IPTABLES -F Result $? $IPTABLES -t nat -F Result $? $IPTABLES -t mangle -F Und da ist auch schon dein Problem. Du aktivierst zwar das Masquerading korrekt, aber leider _vor_ dem Flushen der Tabellen. An diesem Punkt im Skript gibts keine Masquerading Regel mehr und dein PC kann die Antwortpakete auf deine Anfragen ins Netz nicht mehr zurueck zu deinem Laptop zustellen. Setze die Masquerade-Regel weiter unten an, dann wirds auch was mit dem Internet ;-) Andreas Huhu das wars! DANKE. Wo ich es gelesen habe habe ich dann auch gesagt eigentlich bescheuert und eigentlich logisch Ich kann ja schlecht ne Regel setzen und Sie dann alle wieder löschen. Also Problem gelöst. Super Dankle an alle P.S. Weiss das es vielleicht etwas viel ist. Propier nur gerade a bissl rum. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ssh + iptables : GELÖ ST
On 21.04.06 23:16:17, Marco Estrada Martinez wrote: P.S. Weiss das es vielleicht etwas viel ist. Propier nur gerade a bissl rum. Ist ja auch nichts verkehrt dran. Aber hinter einem Router kannst du dir einen 2. Paketfilter im Heimbetrieb im Normalfall sparen, jedenfalls was den Verkehr angeht der von draussen reinkommt. Wenn du natuerlich Verkehr aus dem LAN ins WWW beschraenken willst ist das was anderes (wie gesagt ich hab mir deine Regeln nicht weiter angeschaut). Der Router blockt ja schon alle Anfragen aus dem Netz. Andreas -- You single-handedly fought your way into this hopeless mess. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ssh + iptables : GELÖST
Andreas Pakulat schrieb: On 21.04.06 23:16:17, Marco Estrada Martinez wrote: P.S. Weiss das es vielleicht etwas viel ist. Propier nur gerade a bissl rum. Ist ja auch nichts verkehrt dran. Aber hinter einem Router kannst du dir einen 2. Paketfilter im Heimbetrieb im Normalfall sparen, jedenfalls was den Verkehr angeht der von draussen reinkommt. Wenn du natuerlich Verkehr aus dem LAN ins WWW beschraenken willst ist das was anderes (wie gesagt ich hab mir deine Regeln nicht weiter angeschaut). Der Router blockt ja schon alle Anfragen aus dem Netz. Andreas Ja, das weiss ich. Wollte halt mal ein bissl rumspielen. Um ipables zu versthen. Aber nun klappt es einwandfrei. Danke nochmal. Schönnen Abend noch. Werde auch noch ne Weile sitzen. Marco -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
