Ich generiere mit folgendem Skript eine Friewall-Regel. Ich möchte eine Verbindung zu Port 8000 des Servers aufbauen und auch Daten empfangen, aber leider bekomme ich keine Verbindung hin! (Verbindung wird von PC hinter der Firewall aufgebaut, HTTP-Traffic funst ohne probleme!) # Regeln für Verbinmdung zu Prot 8000 uaf pc.domain.de echo "Starte Regeln..." $IPTABLES -A FORWARD -o $EXT -p tcp -d pc.domain.de-- sport $UNPRIV --dport 8000 -m state --state ESTABLISHED -j ACCEPT $IPTABLES -A FORWARD -o $EXT -p tcp -d pc.domain.de --sport $UNPRIV --dport 8000 -m state --state NEW,ESTABLISHED - j ACCEPT echo "Beende Regeln..." Zur Info noch die HTTP-Traffic-Regeln, die ohne Problem funktionieren # HTTP-Traffic zulassen (Port 80, TCP) $IPTABLES -A FORWARD -i $EXT -p tcp --sport http --dport $UNPRIV -m state --state ESTABLISHED -j ACCEPT $IPTABLES -A FORWARD -o $EXT -p tcp --sport $UNPRIV -- dport http -m state --state NEW,ESTABLISHED -j ACCEPT Danke für jede Hilfe! Grüße Sebastian
Hallo, Am Tue, 27 Apr 2004, Sebastian Bickel schrieb:
Ich generiere mit folgendem Skript eine Friewall-Regel. Ich möchte eine Verbindung zu Port 8000 des Servers aufbauen und auch Daten empfangen, aber leider bekomme ich keine Verbindung hin! (Verbindung wird von PC hinter der Firewall aufgebaut, HTTP-Traffic funst ohne probleme!)
# Regeln für Verbinmdung zu Prot 8000 uaf pc.domain.de echo "Starte Regeln..." $IPTABLES -A FORWARD -o $EXT -p tcp -d pc.domain.de-- ^^ *oink*
sport $UNPRIV --dport 8000 -m state --state ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -o $EXT -p tcp -d pc.domain.de --sport $UNPRIV --dport 8000 -m state --state NEW,ESTABLISHED - j ACCEPT
echo "Beende Regeln..."
Zur Info noch die HTTP-Traffic-Regeln, die ohne Problem funktionieren
# HTTP-Traffic zulassen (Port 80, TCP) $IPTABLES -A FORWARD -i $EXT -p tcp --sport http --dport ^^!
$UNPRIV -m state --state ESTABLISHED -j ACCEPT $IPTABLES -A FORWARD -o $EXT -p tcp --sport $UNPRIV -- dport http -m state --state NEW,ESTABLISHED -j ACCEPT
Auf deine C&P bzw. Fipptehler gehe ich jetzt mal nicht ein. -dnh -- If you haven't got time to RTFM, you haven't got time to whine on this mailing list.
Hallo,
Am Tue, 27 Apr 2004, Sebastian Bickel schrieb:
Ich generiere mit folgendem Skript eine Friewall-Regel. Ich möchte eine Verbindung zu Port 8000 des Servers aufbauen und auch Daten empfangen, aber leider bekomme ich keine Verbindung hin! (Verbindung wird von PC hinter der Firewall aufgebaut, HTTP-Traffic funst ohne probleme!)
# Regeln für Verbinmdung zu Prot 8000 uaf pc.domain.de echo "Starte Regeln..." $IPTABLES -A FORWARD -o $EXT -p tcp -d pc.domain.de-- ^^ *oink*
sport $UNPRIV --dport 8000 -m state --state ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -o $EXT -p tcp -d pc.domain.de --sport $UNPRIV --dport 8000 -m state --state NEW,ESTABLISHED - j ACCEPT
echo "Beende Regeln..."
Zur Info noch die HTTP-Traffic-Regeln, die ohne Problem funktionieren
# HTTP-Traffic zulassen (Port 80, TCP) $IPTABLES -A FORWARD -i $EXT -p tcp --sport http --dport ^^!
$UNPRIV -m state --state ESTABLISHED -j ACCEPT $IPTABLES -A FORWARD -o $EXT -p tcp --sport $UNPRIV -- dport http -m state --state NEW,ESTABLISHED -j ACCEPT
Auf deine C&P bzw. Fipptehler gehe ich jetzt mal nicht ein.
-dnh
-- If you haven't got time to RTFM, you haven't got time to whine on this mailing list.
-- Welche Schreibfehler? Könnte es evtl. daran liegen?
Grüße Sebastian
Hi On Wednesday 28 April 2004 12:58, Sebastian Bickel wrote:
$IPTABLES -A FORWARD -o $EXT -p tcp -d pc.domain.de-- ^^ *oink*
Welche Schreibfehler? Könnte es evtl. daran liegen?
Nur damit es nicht an der tab/space-Problematik liegt. Der Mutt von David interpretiert einen Tab anders als dein Pegasus. Gemeint war vermutlich das "-o" das sollte wohl eher "-i" heißen. Das ist aber noch nicht alles. So passt es auch nicht so recht auf einander. Ausgehend davon, dass die erste Regel für eingehende und die zweite für abgehende Pakete ist: <=========== $IPTABLES -A FORWARD -i $EXT -p tcp -d pc.domain.de --sport 8000 --dport $UNPRIV -m state --state ESTABLISHED -j ACCEPT $IPTABLES -A FORWARD -o $EXT -p tcp -d pc.domain.de --sport $UNPRIV --dport 8000 -m state --state NEW,ESTABLISHED -j ACCEPT ============> So sieht es für meinen Geschmack besser aus. Generell würde ich sagen, dass man Regeln, die nur auf ESTABLISHED passen nicht so streng gestalten muss. Es ist kaum möglich an dieser Stelle durch eine firewall zu schlüpfen. Ich weiß das viele Leute hier mehr Bedenken haben als ich, aber dennoch meine ich, dass man ein "iptables -I FORWARD -i $EXT -p tcp -m state --state ESTABLISHED -j ACCEPT" zumindest zu Testzwecken durchaus verantworten kann. Wenn es dann läuft, kann man diese Regel dann immernoch Stufenweise verschärfen (iptables -R FORWARD 1 ...), bis man maximale Restriktivität erreicht hat. Dinge wie z.B. "--sport $UNRPIV" bringen IMHO eh nichts gegen böse Buben im Internet. Man kann hierbei argumentieren "eine Verschärfung des matches kann nie Schaden". Aber wenn das alles noch nicht hundertprozentig läuft, dann sind weniger komplizierte Regeln oft besser. So verliert man auch weniger schnell die Nerven und fängt irgendwann an die policies auf ACCEPT zu stellen o.ä., weil es nach sieben Stunden Rumbastelns immernoch nicht läuft. mfg Axel
participants (3)
-
Axel Heinrici
-
David Haller
-
Sebastian Bickel