ping durch firewall lassen [gelöst]

rene04 · Beitrag von **rene04** » 23.09.2005 08:24:41

hallo,

bin etwas überfragt im moment. ich möchte meiner iptables firewall in einer dmz klarmachen, das sie pings vom internen netz durchlässt. jemand ne idee wie man das als syntax ausdrücken kann?

gruesse rene

nepos · Beitrag von **nepos** » 23.09.2005 09:15:49

Hm, ungetestet und aus dem Kopf:

Code: Alles auswählen

iptables -A INPUT -p icmp -s 192.168.1.0/24 -j ACCEPT # Eingehende Pings
iptables -A OUPUT -p icmp -d 192.168.1.0/24 -j ACCEPT # Ausgehende Pings

Wenn du wirklich nur Pings durchlassen willst, solltest du die obigen Zeilen noch um folgendes erweitern:

Code: Alles auswählen

--icmp-type echo-reply --icmp-type echo-request

Wie gesagt, alles aber ungetestet.

rene04 · Beitrag von **rene04** » 23.09.2005 09:21:17

..und alles aus dem internennetz zulassen? erscheint mir auch sinnvoll. aber wie ist das mit den antworten für den ping? brauch ich da auch was ausgehendes?

gruesse rene

rene04 · Beitrag von **rene04** » 23.09.2005 11:56:06

hmmm, doch keine so gute idee;(

habe nun die zeile eingetragen:

Code: Alles auswählen

iptables -A INPUT -p icmp -s 172.25.xxx.xxx/24 -j ACCEPT

das besagt doch das ein ping aus dem netz 172.25.xxx.xxx durch darf. oder? zumindest geht es nicht!

das ist was tail -f /var/log/2005-09-23/kern.log auspuckt:

11:57:07 [hostname kern debug] kernel: IN= OUT=eth0 SRC=192.168.xxx.xxx DST=172.25.xxx.xxx LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=35748 PROTO=ICMP TYPE=0 CODE=0 ID=23640 SEQ=10

gruesse rene[/code]

nepos · Beitrag von **nepos** » 23.09.2005 12:26:41

Jo klar, weil die Regel fuer die OUTPUT-Chain fehlt. Du musst auch ausgehenden ICMP-Paketen erlauben, wieder rauszukommen

Bei dir darf momentan nur ein echo-request rein, der echo-reply bleibt aber dann in der Firewall haengen

rene04 · Beitrag von **rene04** » 23.09.2005 12:45:02

fehlermeldung:

12:35:42 [hostname kern debug] kernel: IN= OUT=eth0 SRC=192.168.xxx.xxx DST=172.25.xxx.xxx LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=35830 PROTO=ICMP TYPE=0 CODE=0 ID=48219 SEQ=4

eintrag in firewall:

Network=172.25.xxx.xxx/24

iptables -A INPUT -p icmp --icmp-type echo-request --icmp-type echo-reply -s ${Network} -j ACCEPT
iptables -A OUPUT -p icmp --icmp-type echo-request --icmp-type echo-reply -d ${Network} -j ACCEPT

es geht einfach nicht durch!

gruesse rene

Joghurt · Beitrag von **Joghurt** » 23.09.2005 13:50:06

Du hast zweimal echo-reply, aber keinmal echo-request da drin stehen.

rene04 · Beitrag von **rene04** » 23.09.2005 14:00:29

ne, ich habe beides in jeder zeile stehen. oder wie meinst du das?

gruesse rene

Joghurt · Beitrag von **Joghurt** » 23.09.2005 14:17:47

Sollte es nicht so sein, dass echo-requests rausdürfen, und echo-replies rein?
Bei dir dürfen im Moment nur echo-replies raus und rein; die echo-requests werden, egal von wo sie kommen; verworfen.

rene04 · Beitrag von **rene04** » 23.09.2005 14:30:02

jetzt hab ich verstanden;)

hab das dann mal entsprechend angepasst, und siehe da.....es geht.

vielen dank

gruesse rene