Hallo Leute. Ich würde gerne News lesen. Kann aber nicht, da mein Newsreader nicht durch meine Firewall kommt. Ich frage mich warum, denn http, passiv-ftp, smtp und pop kommen problemlos durch die Firewall durch. Die Firewall ist ein Linux-Rechner, für den ich ein paar iptables-Regeln gestrickt habe, welche im großen und ganzen Verbindungen abweisen, die von draußen aus aufgebaut werden sollen. Kann mir jemand sagen, obs beim news-Protokoll irgend ne Besonderheit gibt, die ich in meine Regeln einbauen müßte, bzw. wie ich erkennen kann, woran es hängt? Gibt es irgendeine Besonderheit beim T-Online Newsserver, die ich beachten müßte? Danke. Andy
Hi, Am 29.09.2002 (20:22) schrieb Andy Feile:
Kann mir jemand sagen, obs beim news-Protokoll irgend ne Besonderheit gibt, die ich in meine Regeln einbauen müßte, bzw. wie ich erkennen kann, woran es hängt? Gibt es irgendeine Besonderheit beim T-Online Newsserver, die ich beachten müßte?
Ist Port 119 offen? Ciao Sascha -- http://www.livingit.de linux at programmers-world dot com http://www.mobile-bookmarks.info http://www.programmers-world.com In den Diktaturen darf man nichts sagen, muß alles nur denken. In der Demokratie darf man alles sagen, aber keiner ist verpflichtet, sich dabei etwas zu denken. -- Willi Ritschard
Sascha Andres wrote:
Kann mir jemand sagen, obs beim news-Protokoll irgend ne Besonderheit gibt, die ich in meine Regeln einbauen müßte, bzw. wie ich erkennen kann, woran es hängt?
Ist Port 119 offen?
wenn er lesen will muss er eingehende verbindungen von port 119 auf ports '>1024' erlauben. ein offener port 119 hilft ihm nicht. micha
Michael Meyer [23:45 29.09.02]:
wenn er lesen will muss er eingehende verbindungen von port 119 auf ports '>1024' erlauben. ein offener port 119 hilft ihm nicht.
Ah, da kommen wir der Sache schon näher. Aber wie kann ich das in eine iptables-Regel gießen, d.h. wie erkenne ich, welche eingehende Verbindung auf den Router zu welchem Client "dahinter" durchgereicht werden soll, und auf welchen Port des Clients? Gruß. Andy
Andy Feile wrote:
wenn er lesen will muss er eingehende verbindungen von port 119 auf ports '>1024' erlauben.
Ah, da kommen wir der Sache schon näher. Aber wie kann ich das in eine iptables-Regel gießen, d.h. wie erkenne ich, welche eingehende Verbindung auf den Router zu welchem Client "dahinter" durchgereicht werden soll, und auf welchen Port des Clients?
http://www.netfilter.org/documentation/index.html#HOWTO und google ist dein freund. micha
Hallo, On Sun, 29 Sep 2002, Andy Feile wrote:
Michael Meyer [23:45 29.09.02]:
wenn er lesen will muss er eingehende verbindungen von port 119 auf ports '>1024' erlauben. ein offener port 119 hilft ihm nicht.
Ah, da kommen wir der Sache schon näher. Aber wie kann ich das in eine iptables-Regel gießen, d.h. wie erkenne ich, welche eingehende Verbindung auf den Router zu welchem Client "dahinter" durchgereicht werden soll, und auf welchen Port des Clients?
Am einfachsten verwendest du die Features von iptables! Konkret, das "stateful"-Filtering in Kombination mit "connection tracking": ==== IPT=/usr/sbin/iptables STATE_RE="-m state --state RELATED,ESTABLISHED" STATE_NRE="-m state --state NEW,RELATED,ESTABLISHED" WORLDIF="ppp0" [..] $IPT -A INPUT -i $WORLDIF $STATE_RE -j ACCEPT $IPT -A OUTPUT -o $WORLDIF $STATE_NRE -j ACCEPT ==== Das ist zwar sicherlich keine optimale Loesung, da es von intern alles akzeptiert, aber mit ein paar (restriktiven!) Regeln davor (z.B. fuer ungueltige Pakete, ports 137-139 etc.) sowie einer DROP-Policy sollte das eigentlich "passen" -- je nach Situation ist das natuerlich weiter einzuschraenken, z.B. auf bestimmte Protokolle, Ports usw. Obiges erlaubt _keinerlei_ Verbindungen von aussen (aber alle von innen!), es sei denn, es ist vorher durch eine passende Sonderregel explizit erlaubt worden... Achso: RTFM! Eine URL wurde dir ja schon "nebenan" gesagt. Denn ohne zu verstehen, wie ne Firewall allgemein funktioniert und wie man das mit iptables umsetzen kann wirst du kaum auf einen gruenen Zweig kommen und dich hoechstens in faschler Sicherheit wiegen. Generell gilt: erstmal _alles_ dichtmachen (ok, ein Regel-Paaerchen fuer das 'lo' ist angebracht ;), und dann schrittweise aufmachen und erstmal alles mitloggen... ("Chains" zum loggen helfen dabei: $IPT -N LOGDROP $IPT -A LOGDROP -j LOG --log-level debug \ --log-prefix "iptables: DROP: " $IPT -A LOGDROP -j DROP $IPT -N LOGACCEPT $IPT -A LOGACCEPT -j LOG --log-level debug \ --log-prefix "iptables: ACCEPT: " $IPT -A LOGACCEPT -j ACCEPT $IPT -N LOGDREJECT $IPT -A LOGREJECT -j LOG --log-level debug \ --log-prefix "iptables: REJECT: " $IPT -A LOGREJECT -j REJECT Und dann eben fuer jede neue Regel eben erstmal LOG${TARGET} statt ${TARGET} verwenden... (und das Logfile per tail -f mitlaufen lassen). Ein Umleiten der Debugmessages in ein eigenes logfiile hilft: ==== /etc/syslog.conf ==== *.=debug -/var/log/debugmessages ==== -dnh -- "N race conditions on the wall, N race conditionsa You take one down, pass it around, and wait. And wait some more." -- Bytor in #tribes
Hi On Monday 30 September 2002 08:23, David Haller wrote:
==== IPT=/usr/sbin/iptables STATE_RE="-m state --state RELATED,ESTABLISHED" STATE_NRE="-m state --state NEW,RELATED,ESTABLISHED" WORLDIF="ppp0" [..] $IPT -A INPUT -i $WORLDIF $STATE_RE -j ACCEPT $IPT -A OUTPUT -o $WORLDIF $STATE_NRE -j ACCEPT ====
Das ist zwar sicherlich keine optimale Loesung, da es von intern alles akzeptiert, aber mit ein paar (restriktiven!) Regeln davor (z.B. fuer ungueltige Pakete, ports 137-139 etc.) sowie einer
Würde es nicht helfen eine OUTPUT-Regel "$IPT -A OUTPUT -o $WORLDIF -p tcp --dport 119 -j ACCEPT" zu verwenden und es bei einem "$IPT -A OUTPUT -o $WORLDIF $STATE_RE -j ACCEPT" zu belassen.
DROP-Policy sollte das eigentlich "passen" -- je nach Situation ist das natuerlich weiter einzuschraenken, z.B. auf bestimmte Protokolle, Ports usw.
Unter Umständen muss ein "$IPT -I ..." verwendet werden. Es kann ja sein, dass sonst vor den entsprechenden Regeln irgendwelche expliziten DROP-Regeln drinstehen. mfg Axel
participants (5)
-
Andy Feile
-
Axel Heinrici
-
David Haller
-
Michael Meyer
-
Sascha Andres