Liebe Liste, meine Anfrage gestern war wohl zu undifferenziert. Hier nochmal konkreter: Wie ist die Firewall zu konfigurieren, damit diese Pakete (S. Fehlerlog) nicht abgelehnt werden. Für jegliche Hinweise dankbar. LL Jul 24 21:30:08 linuxsrv pppd[4354]: Script /etc/ppp/ip-up started (pid 6329) Jul 24 21:30:08 linuxsrv ip-up: Modified /etc/resolv.conf for DNS at ppp0 Jul 24 21:30:08 linuxsrv SuSEfirewall: Firewall rules successfully set. Jul 24 21:30:08 linuxsrv pppd[4354]: Script /etc/ppp/ip-up finished (pid 6329), status = 0x0 Jul 24 21:30:16 linuxsrv kernel: Packet log: input DENY ppp0 PROTO=17 194.25.2.129:53 217.230.90.52:1040 L=129 S=0x00 I=39341 F=0x0000 T=60 (#84) Jul 24 21:30:20 linuxsrv kernel: Packet log: input DENY ppp0 PROTO=17 217.5.100.129:53 217.230.90.52:1040 L=129 S=0x00 I=57377 F=0x0000 T=55 (#84) Jul 24 21:30:22 linuxsrv kernel: Packet log: input DENY ppp0 PROTO=17 217.5.100.129:53 217.230.90.52:1040 L=129 S=0x00 I=57867 F=0x0000 T=55 (#84) Jul 24 21:30:33 linuxsrv pppd[4354]: sent [LCP EchoReq id=0x1 magic=0x4caf14e4] Jul 24 21:30:33 linuxsrv pppd[4354]: rcvd [LCP EchoRep id=0x1 magic=0xfa19d73] Jul 24 21:30:36 linuxsrv kernel: Packet log: input DENY ppp0 PROTO=17 217.5.100.129:53 217.230.90.52:1040 L=129 S=0x00 I=61577 F=0x0000 T=55 (#84) Jul 24 21:30:42 linuxsrv kernel: Packet log: input DENY ppp0 PROTO=17 194.25.2.129:53 217.230.90.52:1040 L=129 S=0x00 I=13922 F=0x0000 T=60 (#84) Jul 24 21:30:46 linuxsrv kernel: Packet log: input DENY ppp0 PROTO=17 217.5.100.129:53 217.230.90.52:1040 L=129 S=0x00 I=64717 F=0x0000 T=55 (#84) Jul 24 21:30:51 linuxsrv kernel: Packet log: input DENY ppp0 PROTO=17 194.25.2.129:53 217.230.90.52:1040 L=129 S=0x00 I=29243 F=0x0000 T=60 (#84)
Hallo, gl@lindenlaub.de ("Gerhard Lindenlaub") writes:
Liebe Liste,
meine Anfrage gestern war wohl zu undifferenziert. Hier nochmal konkreter:
Wie ist die Firewall zu konfigurieren, damit diese Pakete (S. Fehlerlog) nicht abgelehnt werden. Für jegliche Hinweise dankbar.
Jul 24 21:30:16 linuxsrv kernel: Packet log: input DENY ppp0 PROTO=17 194.25.2.129:53 217.230.90.52:1040 L=129 S=0x00 I=39341 F=0x0000 T=60 (#84) Jul 24 21:30:20 linuxsrv kernel: Packet log: input DENY ppp0 PROTO=17 217.5.100.129:53 217.230.90.52:1040 L=129 S=0x00 I=57377 F=0x0000 T=55 (#84) Jul 24 21:30:22 linuxsrv kernel: Packet log: input DENY ppp0 PROTO=17 [...] Die Adresse 217.230.90.52 ist vermutlich die dir dynamisch zugewiesene Adresse. PROTO=17 ist udp, kannst du auch in /etc/protocols nachlesen. Ich vermute mal weiterhin, dass es sich um eine Nameserver-Anfrage handelt, also
ipchains -A input -i ppp0 --sport 53 --dport :65535 -p udp -j ACCEPT Oder verbal, erlaube Nameservern auf dem unprevilegierten Port mit dem Protokoll udp zu antworten. -Dieter -- Dieter Kluenter Brute Force Imaging
* Dieter Kluenter schrieb am 25.07.01 um 17:27 Uhr:
Hallo,
ipchains -A input -i ppp0 --sport 53 --dport :65535 -p udp -j ACCEPT
Oder verbal, erlaube Nameservern auf dem unprevilegierten Port mit dem Protokoll udp zu antworten.
Hier erlaubst du aber alle Ports, und nicht nur die unprIviligierten, oder? :65535 steht fuer 0:65535 Aus der man-Page: If the first port is omitted, "0" is assumed; if the last is omitted, "65535" is assumed. Gruss -Marc -- +------------------------------------------------------------------+ | --> http://www.links2linux.de <-- Jetzt mit neuen Features! | | wie z.B. [EasyLink] | +---Registered-Linux-User-#136487------------http://counter.li.org +
On Wednesday 25 July 2001 22:48, Marc Schiffbauer wrote:
* Dieter Kluenter schrieb am 25.07.01 um 17:27 Uhr:
Hallo,
ipchains -A input -i ppp0 --sport 53 --dport :65535 -p udp -j ACCEPT
[...] Ihr bringt hier was durcheinander: Es muss iptables heissen (ipchains kennt keine --sport und --dport, da muss es ausgeschrieben --source-port bzw. --destination-port heisse) Ausserdem haben die Ketten in iptables grossbuchstabige Namen: INPUT
Oder verbal, erlaube Nameservern auf dem unprevilegierten Port mit dem Protokoll udp zu antworten.
Hier erlaubst du aber alle Ports, und nicht nur die unprIviligierten, oder?
:65535 steht fuer 0:65535
Richtig. mfg, Gerd -- /"\ \ / ASCII Ribbon Campaign x Say NO to HTML in email and news !! / \
On Wednesday, 25. July 2001 23:36, Gerhard Feiner wrote:
On Wednesday 25 July 2001 22:48, Marc Schiffbauer wrote:
* Dieter Kluenter schrieb am 25.07.01 um 17:27 Uhr:
Hallo,
ipchains -A input -i ppp0 --sport 53 --dport :65535 -p udp -j ACCEPT
[...]
Ihr bringt hier was durcheinander: Es muss iptables heissen (ipchains kennt keine --sport und --dport, da muss es ausgeschrieben --source-port bzw. --destination-port heisse) Ausserdem haben die Ketten in iptables grossbuchstabige Namen: INPUT
Einspruch. Aus 'man ipchains': --destination-port [!] [port[:port]] This allows separate specifiction of the ports. See the description of the -s flag for details. The flag --dport is an alias for this option. Gruß, Stephan -- Stephan Hakuli | mailto: stephan@hakuli.de | * GnuPG/PGP-Key * | callto: 01 71 - 651 89 43 | available, please | surfto: http://www.hakuli.de | visit my homepage
On Thursday 26 July 2001 00:46, Stephan Hakuli wrote:
On Wednesday, 25. July 2001 23:36, Gerhard Feiner wrote:
On Wednesday 25 July 2001 22:48, Marc Schiffbauer wrote:
* Dieter Kluenter schrieb am 25.07.01 um 17:27 Uhr:
Hallo,
ipchains -A input -i ppp0 --sport 53 --dport :65535 -p udp -j ACCEPT
[...]
Ihr bringt hier was durcheinander: Es muss iptables heissen (ipchains kennt keine --sport und --dport, da muss es ausgeschrieben --source-port bzw. --destination-port heisse) Ausserdem haben die Ketten in iptables grossbuchstabige Namen: INPUT
Einspruch. Aus 'man ipchains':
Stattgegeben ;-)
--destination-port [!] [port[:port]] This allows separate specifiction of the ports. See the description of the -s flag for details. The flag --dport is an alias for this option.
Da hab ich mir wohl vertan :P mfg, Gerd -- /"\ \ / ASCII Ribbon Campaign x Say NO to HTML in email and news !! / \
marc.schiffbauer@links2linux.de (Marc Schiffbauer) writes:
* Dieter Kluenter schrieb am 25.07.01 um 17:27 Uhr:
Hallo,
ipchains -A input -i ppp0 --sport 53 --dport :65535 -p udp -j ACCEPT
[...]
Hier erlaubst du aber alle Ports, und nicht nur die unprIviligierten, oder?
:65535 steht fuer 0:65535
Aus der man-Page:
If the first port is omitted, "0" is assumed; if the last is omitted, "65535" is assumed.
Ja, ist ja richtig, ein 1024:65535 ist sicherlich besser, aber ich denke, in diesem Falle erst mal oeffnen und testen und dann schliessen. -Dieter (um Ausreden selten verlegen) -- Dieter Kluenter Brute Force Imaging
participants (5)
-
Dieter Kluenter -
Gerhard Feiner -
Gerhard Lindenlaub -
Marc Schiffbauer -
Stephan Hakuli