[gelöst] Problem mit iptables

[Topspeed]

Hallo
Ich möchte einen PC mit iptables absichern und wollte dazu ein Script verwenden, welches ich bereits auf einem anderen Rechner hatte. Da das Skript nicht funktionierte, hab ich die Befehle einzeln in die Konsole geschrieben um herauszufinden wo das erste Problem auftritt.

Code: Alles auswählen

modprobe ip_tables
iptables -N ext-in
iptables -F ext-in
iptables -D INPUT -i eth0 -j ext-in
iptables -A INPUT -i eth0 -j ext-in
iptables -A ext-in -m state --state RELATED,ESTABLISHED -j ACCEPT

Bei der Eingabe der untersten Zeile erhalte ich folgende Fehlermeldung:

iptables: No chain/target/match by that name

Die chain existiert aber

debian:~# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ext-in 0 -- anywhere anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain ext-in (1 references)
target prot opt source destination

Nun bin ich ratlos und wäre froh um jegliche Tipps!
Gruss

[Jelzin]

Nicht getestet ..... aber probiers mal ohne Bindestrich.

[nepos]

Klappt bei mir einwandfrei.

[Topspeed]

auf einem anderen rechner klappts bei mir auch. die frage ist weshalb nicht hier?
hab Debian Etch auf einem AMD Athlon64 3200+ mit 1GB RAM und 120GB SATA-HD

[Topspeed]

ist die frage zu einfach oder braucht ihr noch mehr infos?
hat dieses problem noch nie jemand gehabt?

[Danielx]

Hallo,

bist du dir sicher, dass diese Fehlermeldung erst nach der letzten Zeile auftritt?

Ich bekomme diese Fehlermeldung schon nach der 4-ten Zeile,
denn du versuchst eine Regel zu löschen, die du nie erstellt hast:

Code: Alles auswählen

iptables -D INPUT -i eth0 -j ext-in

Du kannst, nachdem du eine Regel erstellt hast, z.B.:

Code: Alles auswählen

iptables -A INPUT -i eth0 -j ext-in

selbige wieder löschen:

Code: Alles auswählen

iptables -D INPUT -i eth0 -j ext-in

Du kannst also keine Regel löschen, die es nicht gibt!

[Topspeed]

ja das ist mir auch klar, ich lösche die regel nur um sicher zu gehen, dass keine altlasten mehr vorhanden sind.
Zeile 3 und 4 könnte man weglassen, aber schadet auch nicht.
bei mir tritt der fehler wie bereits oben erwähnt bei dieser zeile auf:

Code: Alles auswählen

iptables -A ext-in -m state --state RELATED,ESTABLISHED -j ACCEPT

[Jelzin]

Vielleicht liegts daran, weil du kein Protokoll angibst?

-p TCP soll angeblich helfen.

[Topspeed]

Danke für den Tipp, aber ich möchte alle Protokolle erlauben und nicht auf TCP beschränken. In meinem Script werden dann weiter unten schon noch gewisse Ports nur für bestimmte Protokolle geöffnet, aber die besagte Zeile möchte ich nicht beschränken.
Auf einem anderen Rechner auch mit debian klappts wunderbar.

[Jelzin]

Hm, dann weiß ich auch nicht mehr weiter ..... hab die Befehle bei mir nicht getestet, sondern ein bissl auf meine Erfahrungen gebaut. Aber nachdem das Skript auf anderen Rechnern scheinbar funktioniert, wirds schwierig.

Ich würd den Fehler woanders suchen, z.B. Installation/Deinstallation der Netzwerk-Packages.

[Topspeed]

ich hab die Lösung gefunden!
Das Modul ip_conntrack hat im Kernel gefehlt. Mit einem anderen Kernel konnte ich ip_conntrack laden und die Fehlermeldungen sind verschwunden!

[Jelzin]

Na sauber, darauf muss man erstmal kommen ^^ Congratz

Jetzt fehlt nur noch dass du den Fred als "gelöst" markierst *g*

Viel Spaß beim Firewallen!!

[Topspeed]

Vielen Dank!
Wenn ich wüsste wie ich diesen Thread als gelöst markieren kann, dann würde ich dies tun.
Gruss Topspeed

[Danielx]

Wenn ich wüsste wie ich diesen Thread als gelöst markieren kann, dann würde ich dies tun.

Vielleicht deinen ersten Beitrag in diesem Thread editieren und im Titel [gelöst] oder so davor schreiben.

Gruß,
Daniel