iptables problem

[KennYblue]

Hi,

ich versuche mir ein eigner Firewallscript zu schreiben. Ich versuche es Schritt für Schritt zu machen. Damit ich weiss was ich da überhaupt mache. Nun steh ich vor einem Problem wo ich alleine nicht mehr weiter komme.

Code: Alles auswählen

#Firewall

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

iptables -A INPUT -p ICMP -i wlan0 -j ACCEPT
#iptables -A OUTPUT -p ICMP -o wlan0 -j ACCEPT

iptables -A INPUT -p UDP -i wlan0 --dport 53 -j ACCEPT
#iptables -A OUTPUT -p UDP -o wlan0 --sport 53 -j ACCEPT

iptables -A INPUT -p TCP -i wlan0 --dport 80 -j ACCEPT
#iptables -A OUTPUT -p TCP -o wlan0 --sport 80 -j ACCEPT

Also zum Problem, wie man sieht hab ich erstmal alles verboten. Dann ICMP erlaubt zum rauspingen etc.
DNS zur Aüflösung erlaubt. Bis hier hin funktioniert alles. Nun das Problem beim erlauben von http zickt das script rum. Ich kann keine Internet Seiten öffnen. Weiss nicht woran das liegt kann jemand helfen ??

ahja und wäre gut wenn mir jemand die Zeile erklären könnte:

"-m state --state NEW,ESTABLISHED,RELATED -j ACCEPT"

Danke

[gms]

ahja und wäre gut wenn mir jemand die Zeile erklären könnte:
"-m state --state NEW,ESTABLISHED,RELATED -j ACCEPT"

ist das Gleiche wie
"-m state ! --state INVALID,UNTRACKED -j ACCEPT"
es werden daher alle Pakete akzeptiert, außer diese stehen in keinem Zusammenhang zu einer bestehenden oder neuen Verbindung

Nun das Problem beim erlauben von http zickt das script rum.

denke nicht, daß dein Script rumzickt, vermute eher, daß dein lokaler Webserver, sofern vorhanden, jetzt ganz gut von außen erreichbar ist
Wenn du Webserver außerhalb erreichen möchtest, solltest du "--dport 80" durch "--sport 80" in der INPUT Chain ersetzen

Gruß
gms

[KennYblue]

danke für deine antwort!

[nepos]

Und wenn du schon DROP benutzt und dann Probleme hast, dann pack dir ans Ende der Chain LOG-Regeln. Das hilft oft bei der Fehlersuche