IP Tables Problem

[Wormi]

Hallo,

habe eine kleines Problem mit IP-Tables wenn ich die MAC Adressen filtern will. Wie kann ich feststellen ob das entsprechende Modul vorhanden ist oder liegt es wo anders dran? Bekomme immer eine Fehlermeldung:

Code: Alles auswählen

iptables: No chain/target/match by that name
iptables: No chain/target/match by that name

Wenn ich die "MAC-Sache" bei FTP entferne klappt alles ohne Fehlermeldung. Wo ist der Bock?

Code: Alles auswählen

#!/bin/sh
#
# Firewall Script iptables

# iptables
FW="/sbin/iptables"

# Interfaces
WAN=venet0

# MAC Adressen
MACADDY=xx-xx-xx-xx-xx-xx

# Vorhandene Ketten und Regeln loeschen
$FW -F
$FW -X


# Alles verbieten was nicht erlaubt ist
$FW -P INPUT DROP
$FW -P FORWARD DROP
$FW -P OUTPUT DROP

# lo-Interface erlauben
$FW -A INPUT  -i lo -j ACCEPT
$FW -A OUTPUT -o lo -j ACCEPT

# Ping erlauben
$FW -A INPUT  -i $WAN -p icmp -j ACCEPT
$FW -A OUTPUT -o $WAN -p icmp -j ACCEPT

# FTP erlauben
$FW -A INPUT  -i $WAN -p tcp --dport 20 -m mac --mac-source $MACADDY -j ACCEPT
$FW -A OUTPUT -o $WAN -p tcp --sport 20 -j ACCEPT
$FW -A INPUT  -i $WAN -p tcp --dport 21 -m mac --mac-source $MACADDY -j ACCEPT
$FW -A OUTPUT -o $WAN -p tcp --sport 21 -j ACCEPT

# SSH erlauben
$FW -A INPUT  -i $WAN -p tcp --dport 22 -j ACCEPT
$FW -A OUTPUT -o $WAN -p tcp --sport 22 -j ACCEPT 

Vielen dank für eure Hilfe!

Gruß Wormi

[Duff]

Laut manpages müsste das Format der MAC-Adresse so aussehen:

mac
[!] --mac-source address
Match source MAC address. It must be of the form XX:XX:XX:XX:XX:XX. Note that this only makes sense for packets coming from an Ethernet
device and entering the PREROUTING, FORWARD or INPUT chains.

[Duff]

FTP kann man überigens auch per Stateful Inspection so erlauben:

Code: Alles auswählen

# FTP erlauben
$FW -A INPUT -p tcp --dport 21 -m state --state NEW -j ACCEPT
$FW -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$FW -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

[Wormi]

Hmm, entweder ich übersehe was oder die Syntax ist die wie sie auf der Manpage beschrieben ist. Aber warum gehts dann nicht?

Macht Stateful Inspection die ganze Sache nicht ein wenig "löchriger" ?

[Duff]

Hmm, entweder ich übersehe was oder die Syntax ist die wie sie auf der Manpage beschrieben ist. Aber warum gehts dann nicht?

In der Manpage ist bei der MAC-Adresse als Trenner ein : angegeben. Du verwendest aber das Zeichen -.

Macht Stateful Inspection die ganze Sache nicht ein wenig "löchriger" ?

Wäre mir neu.
Ganz im Gegenteil, würde ich eher sagen. Bei Stateful Inspection werden die Zustände alle in einer Zustandstabelle gespeichert und anhand von dieser ausgewertet.

[Wormi]

Oh, da war ich wohl tatsächlich blind.....danke!

Hmm egal was ich versuche, immer wenn ich ein Modul verwenden will kommt immer eine Fehlermeldung......

Code: Alles auswählen

$FW -A INPUT -p tcp --dport 21 -m state --state NEW -j ACCEPT
$FW -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$FW -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Code: Alles auswählen

iptables: No chain/target/match by that name
iptables: No chain/target/match by that name
iptables: No chain/target/match by that name

[Duff]

Bei ftp muss noch das Modul ip_conntrack_ftp aktiviert werden.

Code: Alles auswählen

modprobe ip_conntrack_ftp
# bei nat muesste noch folgendes aktiviert werden
modprobe ip_nat_ftp

[Wormi]

Habe nun mal nen anderen Server getestet, dort funktioniert alles ohne Probleme, auch ohne

Code: Alles auswählen

modprobe ip_conntrack_ftp
# bei nat muesste noch folgendes aktiviert werden
modprobe ip_nat_ftp

Habe aber noch ne Verständniss Frage:
Ist die Geschichte mit dem MAC Zugriff sinnlos wenn man dieses übers Internet realisieren will, da jeder "Knotenpunkt" ja die MAC Adresse ändert, oder gehts auch übers Internet?

[Duff]

Habe aber noch ne Verständniss Frage:
Ist die Geschichte mit dem MAC Zugriff sinnlos wenn man dieses übers Internet realisieren will, da jeder "Knotenpunkt" ja die MAC Adresse ändert, oder gehts auch übers Internet?

Bin mir nicht zu 100% sicher, ab stehen diese Informationen nicht im Header des IP-Pakets und sollten nicht geändert werden.?

[Danielx]

Ist die Geschichte mit dem MAC Zugriff sinnlos wenn man dieses übers Internet realisieren will, da jeder "Knotenpunkt" ja die MAC Adresse ändert, oder gehts auch übers Internet?

Die MAC-Adresse steht nicht im IP-Header.

Gruß,
Daniel

[Duff]

Die MAC-Adresse steht nicht im IP-Header.

Sondern?

[Danielx]

Sondern?

Die MAC-Adresse wird nur innerhalb der Sicherungsschicht übermittelt, aber nicht bei anderen Schichten, also auch nicht der Netzwerkschicht.
D.h. die MAC-Adresse wird nicht im Internet geroutet.

Siehe:
http://de.wikipedia.org/wiki/OSI-Modell
http://de.wikipedia.org/wiki/MAC-Adresse
http://de.wikipedia.org/wiki/IP-Paket

Gruß,
Daniel

[Duff]

Ok, dann macht die Regel bezüglich MAC-Adresse keinen Sinn.

[Wormi]

Ok, danke. Dann war der Gedanke das MAC übers Internet nicht geht doch richitg.

Habe nun ein weiteres Problem.
Habe ein VPN laufen (PPTP) indem die User eine Feste IP erhalten. Wie kann ich den traffic für die einzelnen IP´s ermitteln?

[Wormi]

Ich habe nun FTP auf "Auth TLS" umgestellt und komme nun leider nicht mehr auf den FTP mit den iptables Einstellungen.

Muss ich für TLS noch extra was einstellen?

[Duff]

Durchaus möglich.

Was sagt denn das Logging?

Code: Alles auswählen

iptables -A INPUT -i $IFACE -j LOG --log-prefix "INPUT($IFACE): "

[Wormi]

Das Problem hatte sich übrigens gelöst, leider vergessen bescheid zu sagen!
Ich versuche das mal mit meinen Worten wieder zu geben *G*

Da die Verbindung nun verschlüsselt ist kann die Firewall wohl nicht mehr erkennen wozu der Traffic gehört und blockt ihn dann. Die Lösung ist die "PassivePorts" in der config von proftpd anzugeben und diese dann in den Regeln frei zu geben.

MfG