iptables problem n00b@work

Dieses Thema im Forum "Debian/Ubuntu/Knoppix" wurde erstellt von WasserDragoon, 16.02.2006.

  1. #1 WasserDragoon, 16.02.2006
    WasserDragoon

    WasserDragoon Foren As

    Dabei seit:
    25.08.2005
    Beiträge:
    77
    Zustimmungen:
    0
    hi,
    ich hab probleme mit azureus und limewire.
    die wollen nicht, wegen iptables.
    ich hab echt null ahnung davon.
    ich weiß nur dass ich noch keine regeln drin stehen hab.
    wäre nett, wenn mir jemand weiterhelfen könnte.
    hab ne eth0 verbindung und weiß leider nur den port von azureus: 52000
    bitte keine links ich wollte das heute gerne fertig bekommen und ich muss auch noch hausaufgaben machen :-(
    danke im voraus.
    mfg,
    WasserDragoon.
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 Goodspeed, 17.02.2006
    Goodspeed

    Goodspeed Foren Gott
    Moderator

    Dabei seit:
    21.04.2004
    Beiträge:
    4.165
    Zustimmungen:
    1
    Ort:
    Dresden
    Wenn iptables -L nix außer ACCEPT bringt, liegt es nicht an iptables! ;)
     
  4. theton

    theton Bitmuncher

    Dabei seit:
    27.05.2004
    Beiträge:
    4.820
    Zustimmungen:
    0
    Ort:
    Berlin, Germany
    Per Default sind alle Ports bei Linux erstmal zu, sofern sie nicht von einem Programm benutzt werden. Das folgende kleine Skript sollte dir weiter helfen.

    Code:
    #!/bin/bash
    echo "Starting firewall"
    LOGLIMIT=20
    IPTABLES=/sbin/iptables
    # alle alten Regeln entfernen
    echo "Loesche alte Regeln"
    $IPTABLES -F
    $IPTABLES -X
    $IPTABLES -t nat -F
    # Erstelle neue Ketten
    echo "Erstelle neue Ketten..."
    $IPTABLES -N LOGREJECT
    $IPTABLES -A LOGREJECT -m limit --limit $LOGLIMIT/minute -j LOG --log-prefix "FIREWALL REJECT " --log-level notice --log-ip-options --log-tcp-options
    $IPTABLES -A LOGREJECT -j REJECT --reject-with icmp-port-unreachable
    ### PROC MANIPULATION ###
    echo ""Aendere proc-Einstellungen"
    # auf Broadcast-Pings nicht antworten
    echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
    # halt die Klappe bei komischen ICMP Nachrichten
    echo 0 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
    # Kicke den ganzen IP Spoofing Shit
    # (Source-Validierung anschalten)
    echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
    # Setze Default-TTL auf 61 (Default fuer Linux ist 64)
    echo 61 > /proc/sys/net/ipv4/ip_default_ttl
    # sende RST-Pakete wenn der Buffer voll ist
    echo 1 > /proc/sys/net/ipv4/tcp_abort_on_overflow
    # warte max. 30 secs auf ein FIN/ACK
    echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout
    # unterbreche Verbindungsaufbau nach 3 SYN-Pakete, Default ist 6
    echo 3 > /proc/sys/net/ipv4/tcp_syn_retries
    # unterbreche Verbindungsaufbau nach 3 SYN/ACK-Paketen, Default ist 6
    echo 3 > /proc/sys/net/ipv4/tcp_synack_retries
    ### MAIN PART ###
    echo "Erstelle neue Regeln"
    $IPTABLES -P INPUT DROP
    $IPTABLES -P FORWARD DROP
    $IPTABLES -P OUTPUT ACCEPT
    $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    $IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    # im Loopback koennen wir jedem trauen
    $IPTABLES -A INPUT -i lo -j ACCEPT
    # erlaube Pings
    $IPTABLES -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
    # azureus
    $IPTABLES -A INPUT -m state --state NEW -p tcp --dport <hier-tcp-port-eintragen> -j ACCEPT
    $IPTABLES -A INPUT -m state --state NEW -p udp --dport <hier-udp-port-eintragen> -j ACCEPT
    # limewire
    $IPTABLES -A INPUT -m state --state NEW -p tcp --dport <hier-tcp-port-eintragen> -j ACCEPT
    $IPTABLES -A INPUT -m state --state NEW -p udp --dport <hier-udp-port-eintragen> -j ACCEPT
    # Alle TCP Packete, die bis hier hin kommen, werden geloggt und rejected
    # Der Rest wird eh per Default Policy gedroppt...
    $IPTABLES -A INPUT -p tcp -j LOGREJECT
    exit 0
    
    Musst nur noch deine Ports eintragen und dann solltest du weniger Probleme haben.
     
  5. #4 WasserDragoon, 17.02.2006
    WasserDragoon

    WasserDragoon Foren As

    Dabei seit:
    25.08.2005
    Beiträge:
    77
    Zustimmungen:
    0
    cool danke und wo muss das skript hin?
     
  6. #5 SkyFlash, 17.02.2006
    SkyFlash

    SkyFlash Eroberer

    Dabei seit:
    15.02.2006
    Beiträge:
    71
    Zustimmungen:
    0
    Ort:
    Dresden
    Kommt drauf an was du für ne distro hast...
     
  7. #6 WasserDragoon, 17.02.2006
    WasserDragoon

    WasserDragoon Foren As

    Dabei seit:
    25.08.2005
    Beiträge:
    77
    Zustimmungen:
    0
    kubuntu
     
  8. #7 SkyFlash, 17.02.2006
    SkyFlash

    SkyFlash Eroberer

    Dabei seit:
    15.02.2006
    Beiträge:
    71
    Zustimmungen:
    0
    Ort:
    Dresden
    Ich bin mir nicht ganz sicher, ob bei kubuntu nicht schon ein init-script bei ist, aber:

    Tu folgendes:

    Speicher das script von theton nach z.B. /sbin ;Mach anschließend ein chmod 700 darauf. Ich geh in meinem script davon aus, dass du es startiptables genannt hast.

    Dann nimm folgendes script:

    Code:
    #!/bin/sh
    
    case "$1" in
      start)
            [ -e /sbin/startiptables ] && /sbin/startiptables
            ;;
      stop)
            iptables -F
            iptables -t nat -F
            iptables -X
            iptables -P INPUT ACCEPT
            iptables -P OUTPUT ACCEPT
            iptables -P FORWARD ACCEPT
            echo "iptables gestoppt."
            ;;
      panic)
            iptables -F
            iptables -t nat -F
            iptables -X
            iptables -P INPUT DROP
            iptables -P FORWARD DROP
            echo "alles verriegelt..."
            ;;
      *)
            echo "Usage: /etc/init.d/iptables {start|stop|panic}" >&2
            exit 3
            ;;
    esac
    
    Nenn es iptables oder so und speicher es in /etc/init.d ;dann noch chmod 700
    Anschließend nimmst du dein Kontrolzentrum und trägst das script in deine runlevel ein.
    Wenn du nicht weißt in welche, nimm 2,3,4 und 5.

    Das war's schon. Vergiss nicht im script von theton deine ports einzutragen, sonst geht's schief.


    greetz, Ralle
     
  9. #8 WasserDragoon, 17.02.2006
    WasserDragoon

    WasserDragoon Foren As

    Dabei seit:
    25.08.2005
    Beiträge:
    77
    Zustimmungen:
    0
    so hab in kcontrol das iptables script bei boot autostart aktiviert...
    nun hab ich mal neu gestartet und er will das iptables script nicht starten...ich hatte vorher schon was rumprobiert mit kmyfirewall aber davon lass ich lieber wieder die finger.
    hab ich das falsche skript ausgewählt?
    in azureus gibt er mir beim port/firewall sagt er mir ich hätte ein NAT Problem und er will nicht runterladen.
    limewire verbindet auch nicht.
    ich sehe in der iptables -L auch niergendwo die kette LOGREJECT, d.h. also er hat das skript nciht ausgeführt...
     
  10. #9 SkyFlash, 17.02.2006
    SkyFlash

    SkyFlash Eroberer

    Dabei seit:
    15.02.2006
    Beiträge:
    71
    Zustimmungen:
    0
    Ort:
    Dresden
    Probier mal:

    $ /etc/init.d/iptables start

    und poste dann bitte den output von

    $ iptables -L
     
  11. #10 WasserDragoon, 17.02.2006
    WasserDragoon

    WasserDragoon Foren As

    Dabei seit:
    25.08.2005
    Beiträge:
    77
    Zustimmungen:
    0
    sudo: /etc/init.d/iptables: command not found
     
  12. #11 SkyFlash, 17.02.2006
    SkyFlash

    SkyFlash Eroberer

    Dabei seit:
    15.02.2006
    Beiträge:
    71
    Zustimmungen:
    0
    Ort:
    Dresden
    Rrrmmpfff.... !

    Wie hast du das script den genannt?
     
  13. Xanti

    Xanti Mouse Organist

    Dabei seit:
    05.09.2004
    Beiträge:
    1.855
    Zustimmungen:
    0
    ...oder es ist nicht ausführbar.
     
  14. #13 SkyFlash, 17.02.2006
    SkyFlash

    SkyFlash Eroberer

    Dabei seit:
    15.02.2006
    Beiträge:
    71
    Zustimmungen:
    0
    Ort:
    Dresden
    Nu ja, was soll ich machen. Wenn ich dort hinschreibe: "chmod 700" und er tut's nicht, kann ich's auch nicht ändern.

    Vielleicht hängt's auch am vergessenen chown. Wer weiß.

    Am liebsten würde ich ja sagen: starte ssh, bastle nat, gib mir ip und pw. ich mach's.
    Würde irgendwie schneller gehen... :D
     
  15. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  16. #14 WasserDragoon, 17.02.2006
    WasserDragoon

    WasserDragoon Foren As

    Dabei seit:
    25.08.2005
    Beiträge:
    77
    Zustimmungen:
    0
    also chmod hab ich gemacht chown nur nicht...ich hab den chmod mit sudo geändert..also müsste es doch gehen
     
  17. #15 SkyFlash, 17.02.2006
    SkyFlash

    SkyFlash Eroberer

    Dabei seit:
    15.02.2006
    Beiträge:
    71
    Zustimmungen:
    0
    Ort:
    Dresden
    Ne. Du hast das script als user erstellt. Und dann ne 700 drauf. Das klappt ni.

    Ich kenn die Sicherheitsdiskussionen wegen alles mit sudo machen. Meine Meinung ist aber immer noch die: Wenn du mehrere Dinge hintereinander als root machen mußt (Wie bei dieser Sache hier), solltest du schon su'n. Das nur nebenbei.

    Mach jetzt folgendes:

    $ su -
    $ chown root:root /sbin/startiptables
    $ chmod 700 !$
    $ chown root:root /etc/init.d/iptables
    $ chmod 700 !$
    $ /etc/init.d/iptables start
    $ iptables -L

    den letzten output postest du bitte.
     
Thema:

iptables problem n00b@work

Die Seite wird geladen...

iptables problem n00b@work - Ähnliche Themen

  1. Routingprobleme mit iptables

    Routingprobleme mit iptables: Hallo zusammen, ich sitze hier gerade an einem neuen Router und komme im letzten Schritt einfach nicht voran. Insgesamt sollen 3...
  2. iptables Problem auf Linux vServer

    iptables Problem auf Linux vServer: Hallo, mein iptables will irgendwie nicht loggen. Hier ist meine /etc/iptables.rules: # Generated by iptables-save v1.4.4 on Sat Aug 27...
  3. openvpn auf debian eingerichtet, probleme mit iptables und routing

    openvpn auf debian eingerichtet, probleme mit iptables und routing: hallo liebe unixboard.de gemeinde, lange profitiere ich schon von euch, da mich oftmals google-links zu euch fuehren, oder ihr eine meiner...
  4. Denkfehler, oder was? iptables Script-Problem

    Denkfehler, oder was? iptables Script-Problem: Hi Leute, Ich möchte gern einen Rechner mit ner Firewall schützen. Ich selbst möchte aber alle Port nach aussen offen haben. Führe ich das...
  5. iptables - Problem

    iptables - Problem: Hi, habe folgende Konfiguration. Server mit 2 Netzwerkkarten. wifi: 192.168.77.1 LAN: 192.168.1.5 Vom wifi kommt man nur via OpenVPN...