[gelöst] Lokales Netzwerk (+iptables)

[ChrizMas]

Lösung gibt es hier

Hallo zusammen,

ich habe mitlerweile Stunden im Internet und im Serverraum hier verbracht, aber ich peils einfach nicht.

Problem ist folgendes:
Ich habe einen Server mit Debian eingerichtet (bisher meistens nur mit Windows Servern Erfahrung). Klappte alles wunderbar, mit FTP, SSH, alles drauf. Zwar habe ich die ipconfigs überprüft und hinzugefügt, allerdings funktioniert es anscheinend nicht (oder aber ich bin zu prasslig), denn ich kann weder anpingen, noch SSH oder Telnet (über PuTTY) Verbindungen aufbauen. Selbst
"ssh -l username localhost" oder "ssh localhost" gibt nur ein Connection refused.

Code: Alles auswählen

#!/bin/sh

# Flushing alter Regeln
iptables --flush
iptables --delete-chain

# Default policies
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

# Erlaube loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Alle TCP müssen mit SYN beginnen
iptables -A INPUT -p tcp ! --syn -j DROP

# Erlaube TCP Pakete
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 23 -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

# Erlaube UDP Pakete
iptables -A INPUT -p udp -m udp --dport 123 -j ACCEPT
iptables -A INPUT -p udp -m udp --dport 67 -j ACCEPT
iptables -A INPUT -p udp -m udp --dport 53 -j ACCEPT

# Erlaube IMCP Ping Requests
iptables -A INPUT -p ICMP --icmp-type 8 -j ACCEPT
iptables -A INPUT -p ICMP --icmp-type 11 -j ACCEPT

# Erlaube ausgehende Verbindungen
iptables -A OUTPUT -j ACCEPT

Dies führt zu folgender iptables -L Ausgabe

Code: Alles auswählen

Chain INPUT (policy DROP)
target     prot opt source               destination        
ACCEPT     all  --  anywhere             anywhere           
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftp
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:telnet
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:smtp
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:https
ACCEPT     udp  --  anywhere             anywhere            udp dpt:ntp
ACCEPT     udp  --  anywhere             anywhere            udp dpt:bootps
ACCEPT     udp  --  anywhere             anywhere            udp dpt:domain
ACCEPT     icmp --  anywhere             anywhere            icmp echo-request
ACCEPT     icmp --  anywhere             anywhere            icmp time-exceeded

Chain FORWARD (policy DROP)
target     prot opt source               destination        

Chain OUTPUT (policy DROP)
target     prot opt source               destination        
ACCEPT     all  --  anywhere             anywhere           
ACCEPT     all  --  anywhere             anywhere            

Da ich selber normalerweise kein Systemadministrator bin, habe ich natürlich auch nicht sonderlich große Erfahrungen. Der Server hat 8 Netzwerkkarten, stellt das eventuell ein Problem dar? (ist nur mit 1 LAN-Kabel verbunden). Auf allen habe ich die gleiche statische IP-Adresse angegeben.

So meine Frage ist: Was mache ich falsch? Ist die iptables Konfiguration richtig? (FTP+SSH(+Telnet) sollten offen sein, den Rest kann man ja nachher über SSH noch regeln)

Ach übrigens: Ich habe auch die Policies auf ACCEPT gestellt und alle Connections zugelassen - das gleiche Ergebnis: nicht anpingbar..

Achja: Der Server ist im Netz, da ich nichts an den Netzwerkeinstellungen geändert habe (manchmal war er vorher anpingbar, manchmal nicht). Habe es auch nach der wiki probiert, allerdings haut er mir da zurück, dass er die table 'filter' nicht kennen würde (?!)

Ich verzweifel bald und hoffe ihr könnt mir helfen.

Danke im Voraus :)

Gruß
Chriz

Achja.. wie finde ich heraus, welche Netzwerkkarte angeschlossen ist? :/ (eth0-8)

[DynaBlaster]

Da ich selber normalerweise kein Systemadministrator bin, habe ich natürlich auch nicht sonderlich große Erfahrungen. Der Server hat 8 Netzwerkkarten, stellt das eventuell ein Problem dar? (ist nur mit 1 LAN-Kabel verbunden). Auf allen habe ich die gleiche statische IP-Adresse angegeben.

Und woher soll dein Debian dann wissen, über welche Netzwerkkarte er die Antwortpakete in dein LAN schicken soll, wenn alle 8 im gleichen Netz sind. Finde heraus, in welche Karte du dein LAN-Kabel gesteckt hast (ethtool oder mii-tool dürften hierbei hilfreich sein, evtl raicht auch ein Blick nach /var/log/syslog während des Hin- und Hergestöpsels). Dann alle anderen Karten in andere Netze legen oder gleich deaktivieren.

Die Karte, die dein Server als erste Netzwerkkarte bezeichnet, ist nicht zwangsläufig eth0 unter Debian. Das kannst aber bspw. in /etc/udev/rules.d/70-persistent-net-rules anpassen. In der Regel wird dort anhand von Treiber(-modul) und/oder MAC-Adresse fetsgelegt, welche Karte, welchen Namen erhält ...

[ChrizMas]

Okay, dann werde ich herausfinden welche Netzwerkkarte aktiv ist und werde die anderen deaktivieren.
Kann man sie auch einfach deaktivieren? Oder muss ich einfach irgendeine statische sinnlos-IP oder Roaming einstellen? Wenn ich sie über die grafische Oberfläche ausstelle kommt etwas wie: "Netzwerkeinstellungen werden aktualisiert......." und dann ist der Haken wieder da und sie ist wieder aktiv.
Aber wie ist es dann zu erklären, dass man manchmal anpingen konnte, ein anderes mal wiederum nicht? Zufall?

Danke auf jeden Fall

## update 08:11 ##
Werde gleich ersteinmal per ifconfig die Netzwerkkarten ausschalten.
Ist denn z.B. "ifconfig eth0 down" permanent oder nach dem Neustart des Servers wieder hinfällig?
Sorry, Fragen über Fragen...

## update 16:00 ##
2 der 4 Server funktionieren. Allerdings haben diese beiden nur 2 Netzwerkkarten und man sieht bei beiden in der ifconfig auch die IP-Adresse.
Jetzt habe ich bei den anderen beiden Servern (beide jeweils 6 (nicht wie zuerst angegeben 8 Netzwerkkarten) nachgeschaut und da steht bei der aktiven KEINE IP-Adresse. Wenn ich in der /etc/network/interfaces nachschaue steht dort allerdings alles richtig. Habe alle inaktiven auskommentiert und diese sind nun im Roaming Modus.
Problem ist aber folgendes: Wenn ich die aktive z.b. mit ifconfig eth4 123.123.123.123 netmask 255.255.255.192 konfiguriere, tauchen diese Informationen auch in der ifconfig für die Netzwerkkarte auf und ich kann das Gateway pingen. Allerdings sind diese Informationen nach einem Reboot wieder hinfällig.
Nun ist natürlich die Frage: Warum weist er die IP nur zu, wenn ich es manuell mache? Und wie verschaffe ich mir da Abhilfe?

[ChrizMas]

Auch wenn ich Gefahr laufe das Thema nochmals zu pushen.

Lösung 02.12.10
Die Server funktionieren.
Es war tatsächlich ein Problem mit den Netzwerkkarten - ich habe nur die aktive (per ifconfig herausgefunden welche aktiv ist) mit statischer IP eingerichtet, alle anderen habe ich auf Roaming gestellt (bzw. aus /etc/network/interfaces auskommentiert). In der /etc/network/interfaces habe ich für die aktive Karte noch ein "auto eth3" z.B. eingetragen und danach ein Reboot gemacht.
Nach dem Reboot hat er das Gateway anpingen können und Internet ging auch wieder, sodass ich apt-get update und upgrade machen konnte. Funktioniert nun alles wunderbar und ich kann vom Büro auf die Server zugreifen.

Dass er nicht direkt die aktive Netzwerkkarte nur nimmt.. daran hätte ich wahrscheinlich erst zum Schluss gedacht.
Also danke nochmal, ich hoffe ich konnte mit der Lösung jemandem helfen.
Übrigens: Die iptables von oben funktionieren und lassen ssh-Verbindungen und alle anderen angegebenen zu. Daran hats also nicht gelegen.