internes netzwerk problem ping+dsl nutzung zweitrechner

Teddybear · Beitrag von **Teddybear** » 25.06.2005 12:24:44

hallo,

also ich habe hier in etwa auch solch eine konstelation...

DSLRouter-------per wlan ------> Hauptrechner ------------per crossover---> Notebook
AP ath0 eth0 eth0
192.168.0.1 192.168.0.101 192.168.1.1 192.168.1.2

habe lediglich das paket ipmasq per apt auf meinem Hauptrechner installiert...

loddar · Beitrag von **loddar** » 25.06.2005 12:39:47

ipmasq ist auf meinem hauptrechner auch schon installiert.

ich gehe dann davon aus, dass ich interfacemäßig nicht auf eth1 unter samba in deinem script umstellen muss.

away from keyboard...

loddar · Beitrag von **loddar** » 27.06.2005 15:08:34

@DynaBlaster

folgendes hab ich bisher -nach anpassung des scripts- gemacht:

chmod 755 auf firewallscript
gemovt nach /etc/init.d

bevor ich nen symlink in rc2 bzw.3.d setze, wollte ichs testen krieg aber folgenden error:

Code: Alles auswählen

sh /etc/init.d/firewallscript start
: command not foundlscript: line 2:
: command not foundlscript: line 6:
'etc/init.d/firewallscript: line 7: syntax error near unexpected token `{
'etc/init.d/firewallscript: line 7: `function stopFirewall() {

hab runlevel unter /etc/inittab von 2 auf 3 gesetzt (multiuser mit netzwerkdiensten)

frage: brauch ich jetzt 2 links a) zum starten und b) zum stoppen beim runterfahren
und wie wird das script am schluss des systemstarts gestartet?

DynaBlaster · Beitrag von **DynaBlaster** » 27.06.2005 15:42:44

Also bei mir heisst das Script einfach firewall und liegt unter /etc/init.d/
Im Verzeichnis /etc/rc2.d/ bzw. /etc/rc3.d/ liegen Symlinks mit Namen S20firewall und zeigen nach /etc/init.de/firewall.

In /etc/rc6.d/ leigt ein Symlink mit Namen K20firewall und zeigt ebenfalls nach /etc/init.de/firewall.

Was die fehlermeldung angeht: Führst du das Script als root aus ? Evtl. ist auch beim Übertragen auf deinen Rechner was schiefgegangen. ich kann jedenfalls keinen Fehler entdecken. Evtl. mal in der ersten Zeile

#!/bin/bash

durch

#!/bin/sh

loddar · Beitrag von **loddar** » 27.06.2005 18:02:15

als root versucht das scriptsche zum testen mal manuell zu starten:

kahuna:~# pwd
/root
kahuna:~# cd /etc/init.d
hier liegt das script firewal mit chmod 755

folgender fehler dann

kahuna:/etc/init.d# ./firewall start
-su: ./firewall: /bin/bash^M: bad interpreter: No such file or directory
kahuna:/etc/init.d# ./firewall
-su: ./firewall: /bin/bash^M: bad interpreter: No such file or directory

Savar · Beitrag von **Savar** » 27.06.2005 18:27:56

hast du das skript von einem Windows Rechner rübergespielt?

dann mach mal ein

Code: Alles auswählen

dos2unix firewall

(dos2unix ist im Paket "sysutils")

loddar · Beitrag von **loddar** » 27.06.2005 18:52:25

nein, per scp vom zweitrechner [debian] auf hauptrechner.

Code: Alles auswählen

kahuna:~# apt-get install sysutils
Reading Package Lists... Done
Building Dependency Tree... Done
sysutils is already the newest version.
0 upgraded, 0 newly installed, 0 to remove and 1 not upgraded.
kahuna:~# cd /etc/init.d
kahuna:/etc/init.d# dos2unix firewall
kahuna:/etc/init.d#       --> hier wird dann nichts mehr angezeigt

Ich möchte das script vor verlinkung erst mal testen.

DynaBlaster · Beitrag von **DynaBlaster** » 27.06.2005 18:58:09

Aber ich habe das Script von einem Windowsrechner nach nopaste.debianforum.de kopiert bzw. hochgeladen - evtl. liegt es daran ...

Savar · Beitrag von **Savar** » 27.06.2005 19:04:49

und das nach

Code: Alles auswählen

dos2unix firewall

nichts kommt ist auch richtig.. hast du es danach nochmal versucht zu starten?

loddar · Beitrag von **loddar** » 27.06.2005 19:18:06

Code: Alles auswählen

kahuna:/etc/init.d# ./firewall start
Starting Firewalliptables v1.2.11: Unknown arg `--dport'
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.2.11: Unknown arg `--dport'
Try `iptables -h' or 'iptables --help' for more information.

Savar · Beitrag von **Savar** » 27.06.2005 19:42:45

naja.. das klingt schonmal besser.. jetzt ist die Frage warum der "--dport" nicht kennt..

vielleicht liegt es an der iptables Version oder hast du einen selbsgebackenen Kernel?

loddar · Beitrag von **loddar** » 27.06.2005 21:00:49

aud dieser kiste kein selbsgebackener

Code: Alles auswählen

kahuna:~# dpkg -s iptables
Package: iptables
Status: install ok installed
Priority: important
Section: net
Installed-Size: 1240
Maintainer: Laurence J. Lane <ljlane@debian.org>
Architecture: i386
Version: 1.2.11-10
Depends: libc6 (>= 2.3.2.ds1-4)
Suggests: ipmasq, iproute
Description: Linux kernel 2.4+ iptables administration tools
 netfilter and iptables provide a Linux kernel framework for
 stateful and stateless packet filtering, network and port addresss
 translation, and other IP packet manipulation. The framework is the

ipmask und iproute ist installiert

loddar · Beitrag von **loddar** » 29.06.2005 11:57:46

hab jetzt das von DynaBlaster vorgeschlagenen firewallscript angepasst entsprechend meiner beiden kisten.

frage: was muss unter input chain bei eth0 + eth1 rein??
samba nur internes lan -> mit der ip so o.k.?

hier der link zum angepassten script:

http://nopaste.debianforum.de/501

DynaBlaster · Beitrag von **DynaBlaster** » 29.06.2005 15:23:45

Code: Alles auswählen

iptables -A INPUT -i eth0 -p TCP --dport 20 -j ACCEPT
iptables -A INPUT -i eth0 -p UDP --dport 20 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP --dport 21 -j ACCEPT
iptables -A INPUT -i eth0 -p UDP --dport 21 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p UDP --dport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP --dport 25 -j ACCEPT
iptables -A INPUT -i eth0 -p UDP --dport 25 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP --dport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p UDP --dport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP --dport 873 -j ACCEPT
iptables -A INPUT -i eth0 -p UDP --dport 873 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP --dport 995 -j ACCEPT
iptables -A INPUT -i eth0 -p UDP --dport 995 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP --dport 3389 -j ACCEPT
iptables -A INPUT -i eth0 -p UDP --dport 3389 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP --dport 4661 -j ACCEPT
iptables -A INPUT -i eth0 -p UDP --dport 4661 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP --dport 4662 -j ACCEPT
iptables -A INPUT -i eth0 -p UDP --dport 4662 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP --dport 4665 -j ACCEPT
iptables -A INPUT -i eth0 -p UDP --dport 4665 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP --dport 4672 -j ACCEPT
iptables -A INPUT -i eth0 -p UDP --dport 4672 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP --dport 4711 -j ACCEPT
iptables -A INPUT -i eth0 -p UDP --dport 4711 -j ACCEPT

Wieso hast du das 3 mal in deinem Script drin. Einmal reict vollkommen. Und zu deiner Frage "# INPUT CHAIN" ist nur ein Kommentar, der zum bessern Verständnis des Scriptes beitragen soll. Die Befehle von oben, kommen in die INPUT CHAIN des Kernels.
Und noch eine Frage: Laufen auf deinem Rechner Mail- ftp- und Webserver ? Und müssen die wirklich von aussen erreichbar sein ?

Zur Verdeutlichung:

der Parameter -A INPUT bedeutet: hänge die folgende Regel an die Kette INPUT (CHAIN=Kette) an. -A steht für "append" (oder auch add). Dann folgt das Interface -i eth0 un das Protokoll -p TCP, für das die Regel gelten soll. Schließlich folgt der Destianation-Port --dport 22 (für ssh). Und letztlich die Mitteilung, daß beim Zutreffen dieser Voraussetzungen zur Kette ACCEPT gesprungen werden soll (-j steht für jump).

Code: Alles auswählen

iptables -A INPUT -i eth1 -p TCP -s 192.168.15.0/24 --dport 139 -j ACCEPT
iptables -A INPUT -i eth1 -p UDP -s 192.168.15.0/24 --dport 137:138 -j ACCEPT
iptables -A INPUT -i eth1 -p TCP -s 192.168.15.0/24 --dport 445 -j ACCEP

Diese Regeln lassen Zugriffe auf Samba-Dienste nur über eth1 zu. Und auch nur dann, wenn die Anfragen von Rechnern aus dem Ursprungsnetz 192.168.15.0/24 kommen.