Tag,
ich habe folgendes Problem:
Meine Firewall droped alles ausser port 80 und 22. Sobald sie scharf ist funktioniert mein ez-ipupdate nicht mehr. Kann mir jemand sagen welche ip-tables rule ich adden muss damit ez-ipupdate wieder klappt?
Soll ich outgoing was freigeben?
Thx
ez-ipupdate + firewall
ez-ipupdate + firewall
--
kallisti!
kallisti!
Mir hat in solchen Fällen immer tcpdump geholfen.
Programmer: A biological machine designed to convert caffeine into code.
xmpp:bert@debianforum.de
xmpp:bert@debianforum.de
Nun, als root einfach ein tcpdump eingeben. Hilfreich ist, wenn zu der Zeit kein anderer Verkehr auf der Schnittstelle ist, da Du sonst die fraglichen Packete leicht übersiehst. Du solltest dann eingehende Packete mit dem S Bit sehen und eine Antwort des Rechners mit dem R Bit gesetzt (wenn die Firewall ein REJECT macht). An dem eingehenden Packet siehst Du die die notwendigen Parameter. Wenn Du gar nicht mit den Angaben dort klarkommst, dann Poste einfach den Output von tcpdump zur Zeit des ez-updates.
Programmer: A biological machine designed to convert caffeine into code.
xmpp:bert@debianforum.de
xmpp:bert@debianforum.de
Hey - danke,
war zwar kool mit tcpdump, und lehrreich, aber leider hat's mein prob nicht gelöst (mir aber den weg gewiesen...).
Hat sich herausgestellt dass ez-ipupdate einen dns-lookup machen will, und da meine firewall alles dicht gemacht hat und ich auch mit apt-get probs bekommen habe, habe ich mir so beholfen (konnte nicht spezielle ports freigeben, da die bei ez-ipupdate immer wechseln - glaub ich jedenfalls...)
iptables -A INPUT -i ppp0 -m state --state ESTABLISHED -j ACCEPT
Das ist jetzt zwar nimmer so doll was meine firewall angeht, aber s'klappt.
(So schlimm isses nicht, oder doch???)
war zwar kool mit tcpdump, und lehrreich, aber leider hat's mein prob nicht gelöst (mir aber den weg gewiesen...).
Hat sich herausgestellt dass ez-ipupdate einen dns-lookup machen will, und da meine firewall alles dicht gemacht hat und ich auch mit apt-get probs bekommen habe, habe ich mir so beholfen (konnte nicht spezielle ports freigeben, da die bei ez-ipupdate immer wechseln - glaub ich jedenfalls...)
iptables -A INPUT -i ppp0 -m state --state ESTABLISHED -j ACCEPT
Das ist jetzt zwar nimmer so doll was meine firewall angeht, aber s'klappt.
(So schlimm isses nicht, oder doch???)
--
kallisti!
kallisti!
-
chu-i
- Beiträge: 157
- Registriert: 10.11.2005 23:29:01
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Berlin
Nee, nicht schlimm. 
Vieleicht machst du dir das Debuggen etwas leichter und läßt die Pakete mitloggen die gefiltert werden.
Wenigstens die OUTPUT Kette. Das sieht dann etwa so aus.
firewall script
Da sparst du dir das tcpdump (sonst sehr nützlich) und bekommst eventuelle Fehler in deiner Firewall recht schnell mit.
Normalerweise werden diese in die kern.log geschrieben bzw. laufen direkt über die Konsole.
Mit der --log-level Option kannst du aber über den syslog diese in eine eigene Datei filtern.
syslog.conf
Vieleicht machst du dir das Debuggen etwas leichter und läßt die Pakete mitloggen die gefiltert werden.
Wenigstens die OUTPUT Kette. Das sieht dann etwa so aus.
firewall script
Code: Alles auswählen
...
$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -j LOG --log-prefix "OUTPUT: " --log-level 7
...
Normalerweise werden diese in die kern.log geschrieben bzw. laufen direkt über die Konsole.
Mit der --log-level Option kannst du aber über den syslog diese in eine eigene Datei filtern.
syslog.conf
Code: Alles auswählen
...
kern.=debug -/var/log/firewall/output.log
...
Thx & cya Chu-i
„Wer die Freiheit aufgibt um Sicherheit zu gewinnen, der wird am Ende beides verlieren.“
Benjamin Franklin (1706-1790†)
„Wer die Freiheit aufgibt um Sicherheit zu gewinnen, der wird am Ende beides verlieren.“
Benjamin Franklin (1706-1790†)