IPtables lässt mich nicht ins Internet

m0190 · 3. März 2006

Seit dem ich IPtables installiert habe, komm ich nicht mehr raus ins Netz.

Ohne IPtables geht es ohne Probleme.

Bash

#!/bin/sh
# als erstes alles verbieten
iptables -P  INPUT DROP
iptables -P  OUTPUT  DROP
iptables -P FORWARD DROP
# alle Regeln erst einmal loeschen
iptables -F
# die Policies fuer alle chains setzen
iptables  -P INPUT  DROP
iptables  -P OUTPUT  ACCEPT
#die Regeln
iptables  -A INPUT -p TCP --dport ssh -j ACCEPT
iptables  -A INPUT -p UDP --dport ssh -j ACCEPT

Alles anzeigen

Obiges Script verwende ich.

Es funktioniert weder lynx www.vdr-portal.de
noch apt-get update

Hab ich was übersehen. Eigentlich sollte das doch gehen oder ?

slime · 3. März 2006

hi,
hat damit zu tun, das die einkommenden pakete von der ssh-verbindung die du versuchst aufzubauen ja nicht bei dir auf port 22 ankommen.

also musst du entweder pakete vom quellport 22 erlauben:
iptables -A INPUT -p tcp --sport 22 -j ACCPEPT

oder alternativ einfach 'rücklaufende, zusammengehörige' pakete akzeptieren.
iptables -A INPUT-p tcp -m state --state RELATED -j ACCEPT

[ist jetzt alles aus dem kopp, kann auch leicht falsch sein]

slime · 3. März 2006

lynx und apt-get können natürlich auch nicht gehen. die pakete die da bei dir ankommen werden natürlich auch alle gedroppt.

am einfachsten ist es wohl mit der statfull-firewall-regel (--state RELATED, ESTABLISHED).

m0190 · 3. März 2006

Ja, danke jetzt geht's

Bedeutet die letzte Regel, dass Verbindungen , die geöffnet wurden auch beantwortet werden dürfen ?

Das mit dem SSH geht bei mir nur , wenn ich als Destination Board 22 angebe und nicht als Source Port.

slime · 3. März 2006

hihi,
ist gar net so einfach...

bentworten: wer antwortet? bei einer offenen verbindung können quasi beide leute 'antworten'. ich nehme mal an, das du mit antworten den remote host meinst.
RELATED sorgt dafür, das pakete, welche zu einer ausgehenden verbindung gehören akzeptiert werden;
ESTABLISHED sagt, das pakete, die zu einer bestehenden verbindung gehören akzeptiert werden.

die state regel kannst du in allen CHAINS setzen, also auch im OUTPUT oder in FORWARD. daher ist deine frage nicht eindutig zu benatworten (weil sie nicht klar genug gestellt ist).

das mit ssh ergibt mir so direkt keinen sinn. kommt aber auch darauf an, was du willst.
wenn du von dem rechner mit der firewall (A) eine verbindung zu einem rechner im netz aufmachen willst musst du
- ausgehende paktete (OUTPUT) zu der zielport(dport) erlauben.
- eingehende pakete (INPUT) von dem zielport auf der remote box (dport!) erlauben. [rport und dport haben in unterschiedliche richtungen natürlich unterschiedliche bedeutung].

wenn du willst, das jemand beliebiges aus dem netz herraus eine verbindung zu dir öffnet macht dport bei INPUT schon sinn.

m0190 · 3. März 2006

Danke für die ausführliche Erklärung.

Ich habs so gemeint, wie du es interpretiert hast, war natürlich mehr als 2 deutig beschrieben...

mfg

IPtables lässt mich nicht ins Internet

Jetzt mitmachen!

Teilen