Iptables - Kein Internet auf localhost

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
leipy
Beiträge: 75
Registriert: 12.07.2004 21:21:40
Kontaktdaten:

Iptables - Kein Internet auf localhost

Beitrag von leipy » 09.08.2004 23:13:05

Habe Iptables soweit am laufen, dass alle Rechner im LAN ins Internet können, dabei aber das Problem, dass auf dem localhost keine Internet mehr geht.

Hat hier jmd. nenTip ?

Danke, Grüssle - Stefan

#!/bin/bash
# chkconfig: 345 90 10

# description: Starts and Stops Firewall for a NAT Router
#
#Variablen

LAN_INTERFACE="eth0"
WAN_INTERFACE="ppp0"
LAN_IP="192.168.0.30"
LAN_RANGE="192.168.0.0/24"
LAN_BCAST="192.168.0.255"
IPTABLES="/sbin/iptables"

#Regeln loeschen
$IPTABLES -F
$IPTABLES -X

#Default Policy
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT DROP

# Allow all on localhost
$IPTABLES -t filter -A INPUT -i lo -s 0/0 -d 0/0 -j ACCEPT

#Loopback freigeben
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT

# $IPTABLES -A INPUT -i eth0 -s 0/0 -d 0/0 -j ACCEPT
# $IPTABLES -A INPUT -i lo -s 0/0 -d 0/0 -j ACCEPT
# $IPTABLES -A INPUT -i $IF_EXTERN -m state --state ESTABLISHED,RELATED -j ACCEPT

#SSH fuer Verwaltung aus dem Lan freigeben
$IPTABLES -A INPUT -p tcp --dport 22 -i
$LAN_INTERFACE -s
$LAN_RANGE -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --sport 22 -o
$LAN_INTERFACE -d
$LAN_RANGE -m state --state ESTABLISHED,RELATED -j ACCEPT

#Masquerading fuer alles ausgehenden Verbindungen
$IPTABLES -t nat -A POSTROUTING -o $WAN_INTERFACE -j MASQUERADE

#IP-Spoofing loggen und verhindern
$IPTABLES -A FORWARD -s
$LAN_RANGE -i
$WAN_INTERFACE -j LOG --log-level 6 --log-prefix "FIREWALL:spoofing"
$IPTABLES -A FORWARD -s
$LAN_RANGE -i
$WAN_INTERFACE -j DROP

#begrenztes Forwarding erlauben
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -i !
$WAN_INTERFACE -m state --state NEW -j ACCEPT

#Samba/Windows Broadcasts verwerfen (ueberfluten sonst die Logfiles)

# $IPTABLES -A INPUT -p udp --ddort 137:138 -i
$LAN_INTERFACE -j DROP

#e-donkey pakete droppen bevor geloggt wird (ueberfluten sonst die Logfiles)
$IPTABLES -A INPUT -p tcp --dport 4662 -i
$WAN_INTERFACE -j DROP

#Alles loggen was bis hier hin durchgekommen ist, bevor es verworfen wird
$IPTABLES -A INPUT -j LOG --log-level 6 --log-prefix "FIREWALL:input"
$IPTABLES -A FORWARD -j LOG --log-level 6 --log-prefix "FIREWALL:forward"
$IPTABLES -A OUTPUT -j LOG --log-level 6 --log-prefix "FIREWALL:output"

echo

#IP Forwarding aktivieren
echo -n $"IP-Forwarding aktivieren..."
echo 1 > /proc/sys/net/ipv4/ip_forward
echo
exit 0

#end of file

Benutzeravatar
Savar
Beiträge: 7174
Registriert: 30.07.2004 09:28:58
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Berlin

Beitrag von Savar » 09.08.2004 23:49:46

hmm ich kenne mich leider mit iptables nicht richtig aus.. aber du hast ja "OUTPUT DROP" an..

und nun hast du zwar "INPUT" vom internen erlaubt, aber ich weiß nicht ob du vom localhost nicht durch die "OUTPUT" bloß gehst? und die scheint ja nicht erlaubt zu sein?????
MODVOICE/MYVOICE
Debianforum Verhaltensregeln
Log Dateien? -> NoPaste

Antworten