* Freitag, 27. Juli 2001 um 08:10 (+0200) schrieb Michael Jakscht:
Nur habe ich jetzt noch ein Problem. Sobald eine Internetverbindung über das ippp0-Device besteht, fängt der DROPLOG an Pakete zu loggen, die anscheinend nicht zugelassen sind. Dabei geht es um Pakete, die den Port 53, also DNS betreffen.
Aber nicht nur, laut DropLog.
# Neue Regeln, funktionieren ebenfalls nicht... $IPTABLES -A INPUT -i $EXT_DEV -p tcp --sport 53 -j ACCEPT ^^^OK, Antworten der ext. NS (TCP)
$IPTABLES -A INPUT -i $EXT_DEV -p tcp --dport 53 -j ACCEPT ^^^! Damit öffnest du deinen NS für Zugriffe von aussen! (TCP)
$IPTABLES -A OUTPUT -o $EXT_DEV -p tcp --sport 53 -j ACCEPT ^^^! Und damit kann kann er auch auf die Zugriffe von aussen antworten! (TCP)
$IPTABLES -A OUTPUT -o $EXT_DEV -p tcp --dport 53 -j ACCEPT ^^^OK, Anfragen an ext. NS (TCP)
$IPTABLES -A INPUT -i $EXT_DEV -p udp --sport 53 -j ACCEPT ^^^OK, Antworten der ext. NS (UDP)
$IPTABLES -A INPUT -i $EXT_DEV -p udp --dport 53 -j ACCEPT ^^^! Zugriffen von aussen! (UDP)
$IPTABLES -A OUTPUT -o $EXT_DEV -p udp --sport 53 -j ACCEPT ^^^! Antworten der Zugriffe von aussen! (UDP)
$IPTABLES -A OUTPUT -o $EXT_DEV -p udp --dport 53 -j ACCEPT ^^^OK, Anfragen an ext. NS (UDP)
Jul 26 21:51:56 intranet kernel: DropLog: IN= OUT=ippp0 SRC=213.170.160.168 DST=194.231.46.229 LEN=5 8 TOS=0x00 PREC=0x00 TTL=64 ID=224 PROTO=TCP SPT=1431 DPT=110 WINDOW=5840 RES=0x00 ACK PSH URGP=0
^ Hier werden Verbindungsversuche zu einem (deinem?) POP3-Server gedroppt.
Jul 26 21:52:51 intranet squid[475]: comm_udp_sendto: FD 10, 212.6.64.161, port 8080: (1) Operation not permitted
^ Hier versucht dein squid vergeblich seinen Parent (vermutlich) zu erreichen...
Jul 26 21:52:51 intranet kernel: DropLog: IN= OUT=ippp0 SRC=213.170.160.168 DST=212.6.64.161 LEN=80 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=8082 DPT=8080 LEN=60
^ ... weil die Pakete hier gedroppt werden.
Jul 26 21:52:51 intranet kernel: DropLog: IN= OUT=ippp0 SRC=213.170.160.168 DST=212.6.64.161 LEN=65 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=1088 DPT=53 LEN=45
^ Und hier versagt die NS-Anfrage.
Aber "eigentlich" müsste die Regel (von oben)
'$IPTABLES -A OUTPUT -o $EXT_DEV -p udp --dport 53 -j ACCEPT'
diese Anfrage zulassen.
Kann es sein, dass solche Pakete auf irgendeine andere Regel passen
(evtl. in einer Benutzer-Chain) und schon gedroppt werden, _bevor_ sie
die obige(n) Regeln erreichen?
Gruß
Andreas
--
Andreas Könecke "Andreas Koenecke