iptables Regel Fehler

Dieses Thema im Forum "Firewalls" wurde erstellt von Lightstorm, 22.08.2010.

  1. #1 Lightstorm, 22.08.2010
    Lightstorm

    Lightstorm Foren As

    Dabei seit:
    13.08.2008
    Beiträge:
    99
    Zustimmungen:
    0
    Ich habe einen Script womit ich die Firewall Regeln einstelle (nutze Debian):

    Code:
    #!/bin/sh
    
    echo "Initalisiere Firewall ..."
    
    iptables -F
    iptables -X
    iptables -P INPUT DROP
    iptables -P OUTPUT DROP
    iptables -P FORWARD DROP
    
    iptables -Z
    
    #Eigene Chains erstellen
    iptables -N MYDROP
    iptables -N MYACCEPT
    
    # Lokale Kommunikation erlauben
    iptables -A INPUT -i lo -j ACCEPT
    iptables -A OUTPUT -o lo -j ACCEPT
    
    # Stateful Inspection aktivieren
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A INPUT -m state --state INVALID -j MYDROP
    iptables -A OUTPUT -m state --state ESTABLISHED -j ACCEPT
    
    # Eigene Chains MYDROP und MYACCEPT konfigurieren
    iptables -A MYDROP -j LOG --log-prefix "FW-DROP: "
    iptables -A MYDROP -j DROP
    iptables -A MYACCEPT -j LOG --log-prefix "FW-ACCEPT: "
    iptables -A MYACCEPT -j ACCEPT 
    
    # SSH Zugang erlauben
    iptables -A INPUT -p tcp --dport 22 -j MYACCEPT
    
    # ICMP erlauben
    iptables -A INPUT -p icmp -j MYACCEPT
    iptables -A OUTPUT -p icmp -j MYACCEPT
    
    
    # DNS
    iptables -A INPUT -p udp --dport 53 MYACCEPT
    iptables -A INPUT -p tcp --dport 53 MYACCEPT
    iptables -A OUTPUT -p udp --dport 53 MYACCEPT
    iptables -A OUTPUT -p tcp --dport 53 MYACCEPT
    
    # WWW
    iptables -A INPUT -p tcp --dport 80 -j MYACCEPT
    iptables -A OUTPUT -p tcp --dport 80 -j MYACCEPT
    
    #DHCP
    iptables -A INPUT -p udp --dport 67 -j MYACCEPT
    
    echo "Firewall ist konfiguriert und aktiv"
    
    
    Ich habe es aus einem Lehrbuch, ich habe es auch einigermaßen verstanden und nicht nur blind abgeschrieben, bin aber halt noch am lernen.

    Nachdem ausführen bekomme ich einige Fehlermeldungen:
    Das bedeutet das er mit den selbst erstellten Cahins MYDROP und MYACCEPT nicht klar kommt oder? Oder stimmt nur was mit MYACCEPT nicht?

    Da weiß ich jetzt auch nicht weiter, so ist auch die Syntax aus dem Buch, sind die eigenen Chains falsch konfiguriert oder Syntaxfehler?
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 saeckereier, 22.08.2010
    saeckereier

    saeckereier Graue Eminenz

    Dabei seit:
    08.05.2005
    Beiträge:
    1.920
    Zustimmungen:
    0
    Ort:
    Im schönen Norden
    Super wäre es, wenn du uns sagen würdest, wo diese Fehlermeldung kommt. Dann müssen wir nicht raten, welcher der 30 Befehle kaputt ist. Starte das Skript einmal mit bash -x (kannst auch oben reinschreiben #!/bin/bash -x)
     
  4. #3 saeckereier, 22.08.2010
    saeckereier

    saeckereier Graue Eminenz

    Dabei seit:
    08.05.2005
    Beiträge:
    1.920
    Zustimmungen:
    0
    Ort:
    Im schönen Norden
    Ach so, ich habs gefunden. Merke dir den bash -x Tipp bitte generell. Der ist immer gut für Fehleranalyse in Skripten. Dein Fehler ist, dass du das -j vor MYACCEPT bei den DNS Regeln vergessen hast.
     
  5. #4 Lightstorm, 22.08.2010
    Lightstorm

    Lightstorm Foren As

    Dabei seit:
    13.08.2008
    Beiträge:
    99
    Zustimmungen:
    0
    Danke, jetzt geht es :) Hab aber noch die iptables: No chain/target/match by that name Meldungen:

     
  6. #5 saeckereier, 22.08.2010
    saeckereier

    saeckereier Graue Eminenz

    Dabei seit:
    08.05.2005
    Beiträge:
    1.920
    Zustimmungen:
    0
    Ort:
    Im schönen Norden
    Funktioniert hier:
    Code:
    root@mediacenter:~# echo "Initalisiere Firewall ..."
    Initalisiere Firewall ...
    root@mediacenter:~# 
    root@mediacenter:~# iptables -F
    root@mediacenter:~# iptables -X
    root@mediacenter:~# iptables -P INPUT DROP
    root@mediacenter:~# iptables -P OUTPUT DROP
    root@mediacenter:~# iptables -P FORWARD DROP
    root@mediacenter:~# 
    root@mediacenter:~# iptables -Z
    root@mediacenter:~# 
    root@mediacenter:~# #Eigene Chains erstellen
    root@mediacenter:~# iptables -N MYDROP
    root@mediacenter:~# iptables -N MYACCEPT
    root@mediacenter:~# 
    root@mediacenter:~# # Lokale Kommunikation erlauben
    root@mediacenter:~# iptables -A INPUT -i lo -j ACCEPT
    root@mediacenter:~# iptables -A OUTPUT -o lo -j ACCEPT
    root@mediacenter:~# 
    root@mediacenter:~# # Stateful Inspection aktivieren
    root@mediacenter:~# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    root@mediacenter:~# iptables -A INPUT -m state --state INVALID -j MYDROP
    root@mediacenter:~# iptables -A OUTPUT -m state --state ESTABLISHED -j ACCEPT
    root@mediacenter:~# 
    root@mediacenter:~# # Eigene Chains MYDROP und MYACCEPT konfigurieren
    root@mediacenter:~# iptables -A MYDROP -j LOG --log-prefix "FW-DROP: "
    root@mediacenter:~# iptables -A MYDROP -j DROP
    root@mediacenter:~# iptables -A MYACCEPT -j LOG --log-prefix "FW-ACCEPT: "
    root@mediacenter:~# iptables -A MYACCEPT -j ACCEPT 
    root@mediacenter:~# iptables -L -v -n
    Chain INPUT (policy DROP 0 packets, 0 bytes)
     pkts bytes target     prot opt in     out     source               destination         
        0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
        0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
        0     0 MYDROP     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state INVALID 
    
    Chain FORWARD (policy DROP 0 packets, 0 bytes)
     pkts bytes target     prot opt in     out     source               destination         
    
    Chain OUTPUT (policy DROP 0 packets, 0 bytes)
     pkts bytes target     prot opt in     out     source               destination         
        0     0 ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0           
        0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state ESTABLISHED 
    
    Chain MYACCEPT (0 references)
     pkts bytes target     prot opt in     out     source               destination         
        0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 4 prefix `FW-ACCEPT: ' 
        0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           
    
    Chain MYDROP (1 references)
     pkts bytes target     prot opt in     out     source               destination         
        0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 4 prefix `FW-DROP: ' 
        0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           
    
    Prüfe vielleicht einmal mit iptables -L ob die neuen Chains angelegt wurden. Ggf. ist bei deinem Kernel das Log-Target nicht aktiviert? Kannst du in INPUT eine Regel mit Ziel LOG angeben?
     
  7. #6 Lightstorm, 24.08.2010
    Lightstorm

    Lightstorm Foren As

    Dabei seit:
    13.08.2008
    Beiträge:
    99
    Zustimmungen:
    0
    Ich habe keinen Zugriff auf die Kernel Konfiguration. Soweit ich das gelesen habe liegt es daran das es ein vServer ist. Ich habe deswegen das loggen entfernt und MYACCEPT und MYDROP durch ACCEPT und DROP ersetzt, jetzt geht es ohne Fehlermeldung.
     
  8. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
Thema:

iptables Regel Fehler

Die Seite wird geladen...

iptables Regel Fehler - Ähnliche Themen

  1. IPTables Regel wirkt nicht

    IPTables Regel wirkt nicht: Hallo, das ist das erste mal, das ich mit iptables arbeite. Ich muss eine Regel erstellen, um squid als transparenten Proxy ins Netzwerk zu...
  2. IPTables Regel um smtp zu routen

    IPTables Regel um smtp zu routen: Hallo zusammen, ich habe hier ein merkwürdiges Verhalten bei einer Netzwerkkonfiguration. Diese sieht folgendermaßen aus:...
  3. Regelwerk iptables löschen

    Regelwerk iptables löschen: Hallo zusammen, wenn ich mit dem Befehl IPTABLES -F alle Regeln löschen möchte, habe ich das Problem, dass er mir alle chaines auf DROP...
  4. mehrere netzwerke in einer iptables regel

    mehrere netzwerke in einer iptables regel: moin , kann ich mit irgendeiner option in iptables eine regel erstelle die alle ipadressen als valid bestimmt auser die als privat markierten...
  5. Suche zusammenfassung von Iptablesregeln gegen bekannte Angriffe

    Suche zusammenfassung von Iptablesregeln gegen bekannte Angriffe: Ich hab diese Frage schon auf nem anderen Board gestellt , aber da dort die letzen Tage nichts passiert ist versuche ich es mal ob hier jemand...