IPTables blockt seine eigenen Packete!!!

[kox666]

Hi,

ich hab mir das Script von k-pl als Basis für mein Script genommen, es funktioniert auch alles wie ich mir das vorstelle, doch eins verwundert mich. Eine vielzahl der Packete, die geblockt wurden, sind von eth1 und ppp0, also von mir!!! Ist das normal, oder hab ich mich da in meinem Script verhaspelt???

Hier ist das Script :

#!/bin/sh

###################################################################################
# Verbindungsaufspuehrende Module in den Kernel laden, wenn nicht schon vorhanden #
###################################################################################

insmod ip_conntrack
insmod ip_conntrack_ftp

##################
# Schnittstellen #
##################

IFACE_INT=eth0
IFACE_EXT=ppp0
IFACE_LO=lo

############################################
# Default-Policies setzen - alles loeschen #
############################################

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

# Regeln der NAT-Tabelle ausspuehlen

iptables -t nat -F

# Regeln der Filter-Tabelle ausspuehlen

iptables -F

#################################
# Einschalten von IP-Forwarding #
#################################

echo "1" > /proc/sys/net/ipv4/ip_forward

###################
# Incoming-Regeln #
###################
# Neue Verbindungen von Aussen werden geblockt!!!

iptables -A INPUT -p TCP ! --syn -m state --state NEW -j DROP

# Von Intern wird alles erlaubt!!!

iptables -A INPUT -i $IFACE_INT -j ACCEPT

# Vom Localhost wird alles erlaubt!!!

iptables -A INPUT -i $IFACE_LO -j ACCEPT

# Bereits aufgebaute Verbindungen werden akzeptiert!!!

iptables -A INPUT -i $IFACE_EXT -m state --state ESTABLISHED,RELATED -j ACCEPT

#####################
# Akzeptierte Ports #
#####################

# Port 80 fuer Apache
iptables -A INPUT -p tcp -m state --state NEW --destination-port 80 -j ACCEPT

# Port 21 fuer FTP
iptables -A INPUT -p tcp -m state --state NEW --destination-port 21 -j ACCEPT

#####################
# Forwarding-Regeln #
#####################

# Lokal -> Internet : Alles wird erlaubt!!!

iptables -A FORWARD -i $IFACE_INT -o $IFACE_EXT -j ACCEPT

# Internet -> Lokal : Nur bereits bestehende Verbindungen werden akzeptiert!!!

iptables -A FORWARD -i $IFACE_EXT -o $IFACE_INT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Ins lokale Netzwerk wird alles erlaubt!!!

iptables -A OUTPUT -o $IFACE_INT -j ACCEPT

# An den Localhost wird alles erlaubt!!!

iptables -A OUTPUT -o $IFACE_LO -j ACCEPT

# Ins Internet wird alles erlaubt!!!

iptables -A OUTPUT -o $IFACE_EXT -j ACCEPT

################
# Masquerading #
################

iptables -A POSTROUTING -o $IFACE_EXT -t nat -j MASQUERADE

###########
# Logging #
###########

# Alles was bis hier kommt wird mitgeloggt

iptables -A OUTPUT -j LOG --log-prefix "Nicht raus: "
iptables -A FORWARD -j LOG --log-prefix "Nicht durch: "
iptables -A INPUT -j LOG --log-prefix "Nicht rein: "

Ich hab echt keine Ahnung, da ich ja sowieso von Intern alles durchlasse!!!

thx für eure Hilfe Marco

[acron]

Eine vielzahl der Packete, die geblockt wurden, sind von eth1 und ppp0, also von mir!!!

poste doch mal einen Auszug des logs mit diesen Meldungen...

[kox666]

Ausgabe aller blockierten Pakete, sortiert nach Gesamtanzahl der blockierten Pakete.

#Blocks: %Blocks: letztes bl. Paket: blockiertes Paket
-------: -------: -----------------: -----------------
6362: 80,02%: 20. Dez 02 14:01: 80.132.183.95
5793: 72,86%: 20. Dez 02 14:00: 80.132.183.95/tcp
5406: 67,99%: 20. Dez 02 14:00: 80.132.183.95:4662/tcp
52: 0,65%: 20. Dez 02 13:53: 80.132.183.95:http (80)/tcp
26: 0,33%: 20. Dez 02 10:24: 80.132.183.95:shadowserver (2027)/tcp
18: 0,23%: 20. Dez 02 03:54: 80.132.183.95:ftp (21)/tcp
16: 0,20%: 20. Dez 02 01:38: 80.132.183.95:1847/tcp
14: 0,18%: 20. Dez 02 03:44: 80.132.183.95:priv-mail (24)/tcp
10: 0,13%: 20. Dez 02 00:08: 80.132.183.95:8000/tcp
10: 0,13%: 20. Dez 02 03:44: 80.132.183.95:finger (79)/tcp
10: 0,13%: 20. Dez 02 03:46: 80.132.183.95:socks (1080)/tcp
9: 0,11%: 20. Dez 02 00:03: 80.132.183.95:squid-http (3128)/tcp
9: 0,11%: 20. Dez 02 00:03: 80.132.183.95:6588/tcp
9: 0,11%: 20. Dez 02 00:03: 80.132.183.95:http-proxy (8080)/tcp
8: 0,10%: 20. Dez 02 03:43: 80.132.183.95:isi-gl (55)/tcp
8: 0,10%: 20. Dez 02 03:44: 80.132.183.95:mpm (45)/tcp
8: 0,10%: 20. Dez 02 03:44: 80.132.183.95:xns-mail (58)/tcp
8: 0,10%: 20. Dez 02 03:44: 80.132.183.95:graphics (41)/tcp
8: 0,10%: 20. Dez 02 03:43: 80.132.183.95:deos (76)/tcp
8: 0,10%: 20. Dez 02 03:43: 80.132.183.95:msg-icp (29)/tcp
8: 0,10%: 20. Dez 02 03:43: 80.132.183.95:priv-file (59)/tcp
8: 0,10%: 20. Dez 02 03:43: 80.132.183.95:priv-rje (77)/tcp
8: 0,10%: 20. Dez 02 03:43: 80.132.183.95:netrjs-3 (73)/tcp
8: 0,10%: 20. Dez 02 03:44: 80.132.183.95:netrjs-4 (74)/tcp
8: 0,10%: 20. Dez 02 03:43: 80.132.183.95:bootps (67)/tcp
8: 0,10%: 20. Dez 02 03:43: 80.132.183.95:auditd (48)/tcp
8: 0,10%: 20. Dez 02 03:44: 80.132.183.95:smtp (25)/tcp
8: 0,10%: 20. Dez 02 03:44: 80.132.183.95:priv-term (57)/tcp
8: 0,10%: 20. Dez 02 03:43: 80.132.183.95:bootpc (68)/tcp
8: 0,10%: 20. Dez 02 03:44: 80.132.183.95:nsw-fe (27)/tcp
8: 0,10%: 20. Dez 02 03:43: 80.132.183.95:la-maint (51)/tcp
8: 0,10%: 20. Dez 02 03:44: 80.132.183.95:domain (53)/tcp
8: 0,10%: 20. Dez 02 03:44: 80.132.183.95:msg-auth (31)/tcp
7: 0,09%: 20. Dez 02 03:44: 80.132.183.95:telnet (23)/tcp
6: 0,08%: 20. Dez 02 00:18: 80.132.183.95:4780/tcp
5: 0,06%: 20. Dez 02 01:33: 80.132.183.95:6891/tcp
4: 0,05%: 20. Dez 02 12:14: 80.132.183.95:1214/tcp

und das ist nur ein kleiner Teil, der geblockten packete!!
Ich werte meine Logfiles mit fwanalog aus und lasse mir alles grafisch darstellen!!!
80.132.183.95 ist die IP meiner ppp0-Schnittstelle!!!
eth1 ist auch dabei, hab ich jetzt aber nichgepostet!!!

mfg Marco

[acron]

benutze bitte die code-tags (editieren!), sonst sind logfiles kaum lesbar.
aus der auswertung werde ich nicht schlau, da man die richtung der packetet nicht sehen kann (vielleicht kannst du ein screenshot machen und verlinken?). ausserdem sind ja gerade die eth1log-einträge interessant...

grüße acron