Hallo zusammen...
habe Probleme mit iptables auf meinem neuen Server. Nein es ist leider kein Debian-, sondern ein Slackware-System. Ich weiss das ist ein Debian-Forum, aber bin echt verzweifelt, und denke das hier ein paar fähige Leute rumschwirren, deshalb mein Post:
Also mein System ist Slackware-current mit Linux 2.6.5. Iptables ist als Module kompiliert. Es gibt beim Ausführen des nachstehenden Regelwerks auch keine Fehlermeldung, der Server sperrt mich einfach nur aus
Es könnte natürlich an den Regeln liegen, aber die sind so einfach, dass ich das einfach mal ausschließe. (Bitte korrigiert mich, falls ich doch was übersehen habe)
$iptables -F
$iptables -t nat -F
$iptables -X
$iptables -P INPUT DROP
$iptables -P FORWARD DROP
$iptables -P OUTPUT DROP
$iptables -A INPUT -i lo -j ACCEPT
$iptables -A OUTPUT -o lo -j ACCEPT
$iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
$iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT
$iptables -A OUTPUT -p tcp --sport 1024: --dport 22 -j ACCEPT
$iptables -A INPUT -p tcp --dport 22 -j ACCEPT
So, es sollten nun alle eingehenden und ausgehenden Ping-Requests, sowie ssh-Verbindungen erlaubt sein. Bis auf den localhost-Verkehr ist sonst alles geblockt, richtig??
Die Regel mit den Ping-Requests funktioniert auch, nur eine ssh-Verbindung will nicht zu stande kommen. Weder eingehend, noch ausgehend
'iptables -L' zeigt auch, dass die Regeln richtig übernommen wurden.
Ich könnte mir vorstellen, dass es an meiner 2.6er Konfiguration liegen könnte, da ich das erste mal iptables unter linux 2.6 benutze. Kann ich vielleicht irgendeine Option übersehen haben?? Habe alle Iptables-Optionen als Module kompiliert und auch das Policy-Routing aktiviert (im kernel eingebunden).
Auch die iptables-Software habe ich in der Version 1.29 selber kompiliert. Allerdings ist hierbei keine Änderung des Problems zu den iptables-Paketen von Slackware bemerkbar.
In /var/messages steht auch nix gescheites dazu...
Bin echt verzweifelt...
Irgendwelche Ideen??
Danke im Vorraus und Grüße,
Thomas
iptables & linux 2.6
Re: iptables & linux 2.6
Das Problem liegt in Deinem Regelsatz. Du läßt die Pakete jeweils nur in eine Richtung passieren.Tom.bEE hat geschrieben:Code: Alles auswählen
$iptables -A OUTPUT -p tcp --sport 1024: --dport 22 -j ACCEPT $iptables -A INPUT -p tcp --dport 22 -j ACCEPT
Sprich: Pakete von Deinem Rechner zu einem externen SSH-Server dürfen raus (erste Regel), aber die Antwortpakete von diesem Server dürfen nicht rein, weil eine dementsprechende INPUT-Regel fehlt.
Beim Zugriff auf den eigenen SSH-Server (zweite Regel) ist es genau umgekehrt. Pakete zum Server dürfen rein, aber Pakete vom Server zum Client dürfen nicht raus, weil eine dementsprechende OUTPUT-Regel fehlt.
Beheben läßt sich das allgemein mit folgenden Regeln:
Code: Alles auswählen
$iptables -A INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT
$iptables -A OUTPUT -p tcp -m state --state ESTABLISHED -j ACCEPT
No language can express every thought unambiguously, least of all this one. -- D. R. Hofstadter