"iptables" - Merkwürdiges Verhalten
Hallo zusammen, mit der SuSE 8.2 entwickeln die "iptables" ein denkwürdiges Verhalten: sie verschwinden nach Neustart - zumindest die Regeln, die ich für meine beiden Win98SE- Clients zur Nutzung von KaZaA benötige. (bei SuSE 8.0 bestanden diese Ungereimtheiten nicht, da funktionierte das!) Resultat, da ich nicht genau weiss welche Regeln das sind gebe ich alle neu ein, nachdem ich evtl. noch bestehende gelöscht habe, und zwar mit: iptables -F iptables -t nat -F Neueingabe, nach der anschließend, in dieser Sitzung alles funktioniert - bis zum nächsten Neustart: boss:/ # iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE boss:/ # iptables -A FORWARD -i eth0 -o eth1 -s 192.168.1.12 -j ACCEPT boss:/ # iptables -A FORWARD -i eth0 -o eth1 -s 192.168.1.13 -j ACCEPT boss:/ # iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 1214 -j DNAT --to-destination 192.168.1.12:1214 boss:/ # iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 1214 -j DNAT --to-destination 192.168.1.13:1214 boss:/ # iptables -A FORWARD -i eth1 -o eth0 -d 192.168.1.12 -p tcp --dport 1214 -j ACCEPT boss:/ # iptables -A FORWARD -i eth1 -o eth0 -d 192.168.1.13 -p tcp --dport 1214 -j ACCEPT boss:/ # iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT boss:/ # iptables -A FORWARD -i eth0 -o eth1 -s 192.168.1.12 -p tcp --dport 1080 -j ACCEPT boss:/ # iptables -A FORWARD -i eth0 -o eth1 -s 192.168.1.13 -p tcp --dport 1080 -j ACCEPT boss:/ # Warum fliegt da irgendeine Regel aus dem System? ich könnte natürlich versuchen zuerst herauszufinden welche der Regeln betroffen ist, denn das Internet funktioniert weiter - es ist nur KaZaA betroffen, es nimmt keinen Kontakt zu anderen Teilnehmern auf - nur das löst mein Problem nicht, es verkleinert lediglich den Aufwand der Restauration. Wer weiss Rat? Viele Grüße Heiner -- ******************************* H e i n e r G e w i e h s Marketing - Fachkaufmann D- 63868 Großwallstadt Mail: heiner.gewiehs@gewiehs.de *******************************
*** Heiner Gewiehs (heiner.gewiehs@gewiehs.de) schrieb in suse-linux am Apr...:
[...] mit der SuSE 8.2 entwickeln die "iptables" ein denkwürdiges Verhalten: sie verschwinden nach Neustart - zumindest die Regeln, die ich für meine beiden Win98SE- Clients zur Nutzung von KaZaA benötige.
Ähm... Da würde ich ganz stutzig fragen wollen, in welcher SuSE- Version native iptables-Regelsätze _jemals_ persistent gehalten wurden!? Nach meinem Wissen, ist das einzige Regelsatz-System, dass mitgeliefert und persistent gehalten wird, die "SuSE-Firewall". Entsprechend mußt Du Deine Regeln _dort_ eintragen. Das war noch nie anders! Wenn jemand ein mini-Init-Script haben möchte, mit dem ein von Hand gepflegter iptables-Regelsatz beim Runterfahren des Systems abgespei- chert und beim wieder Hochfahren wieder aufgesetzt wird, der schreibe mir das bitte. Andererseits ist solch ein Script fast schon zu einfach zu schreiben, als dass man es sich nehmen lassen sollte, es nach eigenem Gusto aufzusetzen.
[...]
MG Henning Hucke -- Ich koche lieber selber, als bei MC Donalds zu essen, aber wem das Kaffeewasser anbrennt, der geht doch lieber zu diese große amerikanische Kette. Selberkochen ist nur dann zu empfehlen, wenn es Spaß macht. Mit Linux ist es genauso. -- Bernd Brodesser auf suse-linux@suse.de
Am Sonntag, 27. April 2003 12:13 schrieb Henning Hucke:
*** Heiner Gewiehs (heiner.gewiehs@gewiehs.de) schrieb in suse-linux am Apr...:
[...] mit der SuSE 8.2 entwickeln die "iptables" ein denkwürdiges Verhalten: sie verschwinden nach Neustart - zumindest die Regeln, die ich für meine beiden Win98SE- Clients zur Nutzung von KaZaA benötige.
Ähm... Da würde ich ganz stutzig fragen wollen, in welcher SuSE- Version native iptables-Regelsätze _jemals_ persistent gehalten wurden!?
Hallo, ich habe durch Herrn Google heute auch erfahren, dass die Iptables- Regeln nach Neustart quasi wieder neu aufzusetzen sind. Wie dies dauerhaft zu geschehen hat, darüber war so gut wie nichts zu erfahren. Bei der SuSE- Version 8.0 habe ich die Regeln nur einmal aufsetzen müssen! (Die Verbindung zu KaZaA hätte sonst nicht funktioniert, so wie jetzt,) Dies ist auch der Grund weswegen ich so irritiert bin. Ich habe die 8.0 vor einem gut einem Jahr installiert, im Sommer dann die Regeln für Masquerade und KaZaA - das war's - es funktionierte!
Nach meinem Wissen, ist das einzige Regelsatz-System, dass mitgeliefert und persistent gehalten wird, die "SuSE-Firewall". Entsprechend mußt Du Deine Regeln _dort_ eintragen.
Ich benutze die SuSE- Firewall nicht.
Wenn jemand ein mini-Init-Script haben möchte, mit dem ein von Hand gepflegter iptables-Regelsatz beim Runterfahren des Systems
abgespei-
chert und beim wieder Hochfahren wieder aufgesetzt wird, der schreibe mir das bitte.
Selbst auf die Gefahr hin mich zu outen, wäre ich für soetwas dankbar Danke für das Angebot, nehme ich gerne an, bitte möglichst auch angeben, wo ich das Script ablegen muss, damit es seine Aufgabe auch wahrnehmen kann. Viele Grüße Heiner -- ******************************* H e i n e r G e w i e h s Marketing - Fachkaufmann D- 63868 Großwallstadt Mail: heiner.gewiehs@gewiehs.de *******************************
*** Heiner Gewiehs (heiner.gewiehs@gewiehs.de) schrieb in suse-linux heute:
[...] ich habe durch Herrn Google heute auch erfahren, dass die Iptables- Regeln nach Neustart quasi wieder neu aufzusetzen sind.
Ich _fahre 8.0_ und mir wäre nicht bekannt, dass es eine Komponente gäbe, die iptables-Regeln automatisch abspeichert, wie das mein selbst- gebasteltes Script tut...
Wie dies dauerhaft zu geschehen hat, darüber war so gut wie nichts zu erfahren.
Ganz einfach (wie ich bereits schrieb): Eigenes Script schreiben.
Bei der SuSE- Version 8.0 habe ich die Regeln nur einmal aufsetzen müssen! (Die Verbindung zu KaZaA hätte sonst nicht funktioniert, so wie jetzt,)
_Das_ _glaube_ _ich_ _nicht_! Vermutlich war Dein System sperrangelweit offen. Warum sollte man Regeln brauchen, um seinem System etwas zu erlauben. Man braucht Regeln, um alles zu verbieten um im dann wieder das zu erlauben, was man explizit benutzen möchte.
Dies ist auch der Grund weswegen ich so irritiert bin. [...]
Ich glaube, Dich sollte etwas anderes irritieren...
[...]
MG Henning Hucke -- Linux wurde nur möglich, weil 20 Jahre Betriessystemforschung sorgfältig studiert, analysiert, diskutiert und verworfen wurden. Ingo Molnar auf linux-kernel
Henning Hucke wrote:
*** Heiner Gewiehs (heiner.gewiehs@gewiehs.de) schrieb in suse-linux heute:
[...] ich habe durch Herrn Google heute auch erfahren, dass die Iptables- Regeln nach Neustart quasi wieder neu aufzusetzen sind.
Ich _fahre 8.0_ und mir wäre nicht bekannt, dass es eine Komponente gäbe, die iptables-Regeln automatisch abspeichert, wie das mein selbst- gebasteltes Script tut...
vielleicht meint er iptables-save und iptables-restore. micha
*** Michael Meyer (mime@gmx.de) schrieb in suse-linux am Apr 27, 2003:
[...] vielleicht meint er iptables-save und iptables-restore.
Eine etwas weit hergeholte Theorie. Aber: Nein, das meint er nicht. Ich bin gerade dabei, mein init.d-Script und ein wenig mehr in ein noarch.rpm zu backen. Dann braucht er es nurnoch zu entpacken, gege- benenfalls Anpassungen in "/etc/sysconfig/" vorzunehmen und voila... MfG Henning Hucke -- Keine Ahnung, was "KISS" oder "RTFM" heisst? Installiere das SuSE-Packet "bsdgames" und verwende den Befehl "wtf" (see "man wtf"). special suse-linux fortune
Am Montag, 28. April 2003 18:46 schrieb Henning Hucke:
*** Michael Meyer (mime@gmx.de) schrieb in suse-linux am Apr 27, 2003:
[...] vielleicht meint er iptables-save und iptables-restore.
Eine etwas weit hergeholte Theorie. Aber: Nein, das meint er nicht.
Ich bin gerade dabei, mein init.d-Script und ein wenig mehr in ein noarch.rpm zu backen. Dann braucht er es nurnoch zu entpacken, gege- benenfalls Anpassungen in "/etc/sysconfig/" vorzunehmen und voila...
MfG Henning Hucke
Hallo, ich habe zwischenzeitlich, sofern denn Zeit war, natürlich weiter experimentiert, es sind von den von mir angegebenen Regeln gerade einmal zwei IPtables- Regeln übriggeblieben, die ich zur Funktion unbedingt benötige. Die werden dann von mir, sofern erforderlich, von Hand eingegeben. Ich denke das sollte reichen. Mit shieldsup und Probe my Ports getestet. die dabei abgefragten Ports waren "closed". Sicherlich werde ich mich den IPtables- Regeln/Firewall mehr auseinandersetzen müssen - nur so kann zumindest ich dann den Zeitpunkt bestimmen. Scönen Abend Heiner -- ******************************* H e i n e r G e w i e h s Marketing - Fachkaufmann D- 63868 Großwallstadt Mail: heiner.gewiehs@gewiehs.de *******************************
Am Sonntag, 27. April 2003 20:57 schrieb Henning Hucke:
*** Heiner Gewiehs (heiner.gewiehs@gewiehs.de) schrieb in suse-linux heute:
[...] ich habe durch Herrn Google heute auch erfahren, dass die Iptables- Regeln nach Neustart quasi wieder neu aufzusetzen sind.
Ich _fahre 8.0_ und mir wäre nicht bekannt, dass es eine Komponente gäbe, die iptables-Regeln automatisch abspeichert, wie das mein selbst- gebasteltes Script tut...
Wie dies dauerhaft zu geschehen hat, darüber war so gut wie nichts zu erfahren.
Ganz einfach (wie ich bereits schrieb): Eigenes Script schreiben.
Bei der SuSE- Version 8.0 habe ich die Regeln nur einmal aufsetzen müssen! (Die Verbindung zu KaZaA hätte sonst nicht funktioniert, so wie jetzt,)
_Das_ _glaube_ _ich_ _nicht_! Vermutlich war Dein System sperrangelweit offen. Warum sollte man Regeln brauchen, um seinem System etwas zu erlauben. Man braucht Regeln, um alles zu verbieten um im dann wieder das zu erlauben, was man explizit benutzen möchte.
Dies ist auch der Grund weswegen ich so irritiert bin. [...]
Ich glaube, Dich sollte etwas anderes irritieren...
Guten Morgen Henning, ich habe mich an die Liste gewandt, weil ich für ein, mir bis dahin unbekanntes Problem (dauerhafter Eintrag der IPtables), lediglich eine Lösung suchte. Dass sich die Iptables nach Neustart wieder verdünnisieren steht nämlich nirgends geschrieben und war mir unbekannt. Da alles im System funktionierte, bin ich auch nie auf die Idee gekommen, dass dem nicht so sein könnte. Linux im Speziellen und Betriebssysteme im Allgemein, sind nicht mein Job, mittlerweile aber so etwas wie ein Hobby geworden. Du solltest Dir, bei Beantwortung der Mails mit den Problemen anderer user überlegen, ob das was Du schreibst dem "Hilfesuchenden" auch was bringt oder nur Dir! Der Ton macht bekanntlich die Musik - Dein Beitrag war alles andere als überzeugend! Einen schönen Montag noch Heiner -- ******************************* H e i n e r G e w i e h s Marketing - Fachkaufmann D- 63868 Großwallstadt Mail: heiner.gewiehs@gewiehs.de *******************************
Heiner Gewiehs wrote:
Am Sonntag, 27. April 2003 20:57 schrieb Henning Hucke:
offen. Warum sollte man Regeln brauchen, um seinem System etwas zu erlauben. Man braucht Regeln, um alles zu verbieten um im dann wieder ^^^^^^^^ bekommst du das noch in den griff, Heiner?
Dies ist auch der Grund weswegen ich so irritiert bin. [...]
Ich glaube, Dich sollte etwas anderes irritieren...
ich habe mich an die Liste gewandt, weil ich für ein, mir bis dahin unbekanntes Problem (dauerhafter Eintrag der IPtables), lediglich eine Lösung suchte. Dass sich die Iptables nach Neustart wieder verdünnisieren steht nämlich nirgends geschrieben und war mir unbekannt. Da alles im System funktionierte, bin ich auch nie auf die Idee gekommen, dass dem nicht so sein könnte.
das haben wohl mittlerweile alle verstanden.
Linux im Speziellen und Betriebssysteme im Allgemein, sind nicht mein Job, mittlerweile aber so etwas wie ein Hobby geworden.
schön ...
Du solltest Dir, bei Beantwortung der Mails mit den Problemen anderer user überlegen, ob das was Du schreibst dem "Hilfesuchenden" auch was bringt oder nur Dir!
und warum sollte er das, deiner meinung nach, machen. woher leitest du diese verpflichtung ab?
Der Ton macht bekanntlich die Musik - Dein Beitrag war alles andere als überzeugend!
weil du Henning nicht verstanden hast? er versucht dir zu helfen und du kommst mit sowas? entschuldige, dass er dich nicht umgehend zuhause aufgesucht hat um deinen paketfilter zurechtzubiegen. der am wenigsten überzeugende beitrag war IMO deiner, Heiner. micha
*** Heiner Gewiehs (heiner.gewiehs@gewiehs.de) schrieb in suse-linux heute:
[...]
Weißt Du was! Ich hatte mich eben gerade eigentlich hingesetzt, um für Dich und andere das angekündigte noarch.rpm zusammenzubauen. Aber ich erlaube mir einfach, auch mal eingeschnappt zu sein. Tu mit dem Script, was Du nicht lassen kannst. Und wenn Du es nicht gebacken bekommst, soll es mich auch nicht stören... G Henning Hucke -- Führst Du wieder Deine intellektuellen Defizite Gassi? Verlauf Dich einfach und find' nicht zurück, dann ist allen geholfen. [Rainer Blankenagel zu Michael Enezian in dang]
Am Montag, 28. April 2003 23:12 schrieb Henning Hucke:
*** Heiner Gewiehs (heiner.gewiehs@gewiehs.de) schrieb in suse-linux heute:
[...]
Weißt Du was! Ich hatte mich eben gerade eigentlich hingesetzt, um für Dich und andere das angekündigte noarch.rpm zusammenzubauen. Aber ich erlaube mir einfach, auch mal eingeschnappt zu sein. Tu mit dem Script, was Du nicht lassen kannst. Und wenn Du es nicht gebacken bekommst, soll es mich auch nicht stören...
G Henning Hucke
tut mir leid, wenn Du nun schmollst. Ich weiss, dass ich im Bereich Linux noch viel zu lernen habe. Ich kann auch mit Kritik sehr gut umgehen, vorausgesetzt sie ist konstruktiv - denn dies kann nur förderlich sein. Geht die Geschichte allerdings ins persönliche, ob nun nur flapsig dahergesagt, oder in der Absicht den anderen bewusst zu treffen, (man kann das ja schwerlich unterscheiden, wenn Du den Stil des anderen nicht kennt),dann werde ich fuchsig - das bin ich nicht gewohnt. Da beiße ich zu, zähnefletschend und geifernd. Für die Überlassung des Scriptes, und die Mühe die Du Dir damit noch gemacht hast, bedanke ich mich herzlich. Ich werde versuchen, das in Kürze einzubauen. Viele Grüße Heiner -- ******************************* H e i n e r G e w i e h s Marketing - Fachkaufmann D- 63868 Großwallstadt Mail: heiner.gewiehs@gewiehs.de *******************************
Hi On Sunday 27 April 2003 18:44, Heiner Gewiehs wrote:
Hallo, ich habe durch Herrn Google heute auch erfahren, dass die Iptables- Regeln nach Neustart quasi wieder neu aufzusetzen sind.
Alle Einstellungen die nicht in irgendwelchen config-files eingetragen sind sollten nach einem Neustart weg sein.
Wie dies dauerhaft zu geschehen hat, darüber war so gut wie nichts zu erfahren. Bei der SuSE- Version 8.0 habe ich die Regeln nur einmal aufsetzen müssen! (Die Verbindung zu KaZaA hätte sonst nicht funktioniert, so wie jetzt,) Dies ist auch der Grund weswegen ich so irritiert bin. Ich habe die 8.0 vor einem gut einem Jahr installiert, im Sommer dann die Regeln für Masquerade und KaZaA - das war's - es funktionierte! Das finde ich extrem irritierend! Die SuSE firewall sichert die Regeln meines wissens nicht. Diese werden beim Starten eigentlich jedes mal anhand der Konfigurationsdatei neu gesetzt.
Selbst auf die Gefahr hin mich zu outen, wäre ich für soetwas dankbar Danke für das Angebot, nehme ich gerne an, bitte möglichst auch angeben, wo ich das Script ablegen muss, damit es seine Aufgabe auch wahrnehmen kann.
Es gibt iptables-save und iptables-restore die so etwas machen können. Ich würde aber dennoch empfehlen den "handgemachten" Regelsatz einmal per iptables-save in ein bestimmtes file zu sichern und in den init-Skripten nur iptables-restore zu verwenden. Ein automatisches iptables-save beim runterfahren halte ich für gefährlich, da man so ungewollt dauerhafte Änderungen an der Firewall vornehmen kann. Du kannst auf Basis von /etc/init.d/skeleton leicht ein solches Skript mit iptables-restore erstellen und dieses dann mit insserv in den Startvorgang einklinken. Auch auf die Gefahr hin anmaßend zu sein, empfehle ich allerdings dringend die manpage von iptables und die von insserv zu vorherigen Lektüre. "iptables (-t nat) -F" mit den 10 anschließenden Regeln sieht mir nicht nach einer durchdachten "firewall" aus,------ um es mal vorsichtig auszudrücken-----. mfg Axel
Am Montag, 28. April 2003 11:02 schrieb Axel Heinrici:
Hi
On Sunday 27 April 2003 18:44, Heiner Gewiehs wrote:
Hallo, ich habe durch Herrn Google heute auch erfahren, dass die
Iptables-
Regeln nach Neustart quasi wieder neu aufzusetzen sind. Alle Einstellungen die nicht in irgendwelchen config-files eingetragen sind sollten nach einem Neustart weg sein. Wie dies dauerhaft zu geschehen hat, darüber war so gut wie nichts zu erfahren. Bei der SuSE- Version 8.0 habe ich die Regeln nur einmal aufsetzen müssen! (Die Verbindung zu KaZaA hätte sonst nicht funktioniert, so wie jetzt,) Dies ist auch der Grund weswegen ich so irritiert bin. Ich habe die 8.0 vor einem gut einem Jahr installiert, im Sommer dann die Regeln für Masquerade und KaZaA - das war's - es funktionierte! Das finde ich extrem irritierend! Die SuSE firewall sichert die Regeln meines wissens nicht. Diese werden beim Starten eigentlich jedes mal anhand der Konfigurationsdatei neu gesetzt.
Selbst auf die Gefahr hin mich zu outen, wäre ich für soetwas dankbar Danke für das Angebot, nehme ich gerne an, bitte möglichst auch angeben, wo ich das Script ablegen muss, damit es seine Aufgabe auch wahrnehmen kann.
Es gibt iptables-save und iptables-restore die so etwas machen können. Ich würde aber dennoch empfehlen den "handgemachten" Regelsatz einmal per iptables-save in ein bestimmtes file zu sichern und in den init-Skripten nur iptables-restore zu verwenden. Ein automatisches iptables-save beim runterfahren halte ich für gefährlich, da man so ungewollt dauerhafte Änderungen an der Firewall vornehmen kann.
Du kannst auf Basis von /etc/init.d/skeleton leicht ein solches Skript mit iptables-restore erstellen und dieses dann mit insserv in den Startvorgang einklinken. Auch auf die Gefahr hin anmaßend zu sein, empfehle ich allerdings dringend die manpage von iptables und die von insserv zu vorherigen Lektüre.
Hallo Axel, das ist schon in Ordnung mit konstruktiver Kritik bzw. Tipps kann ich sehr gut umgehen! Es erhöht den Lerneffekt!
"iptables (-t nat) -F" mit den 10 anschließenden Regeln sieht mir nicht nach einer durchdachten "firewall" aus,------ um es mal vorsichtig auszudrücken-----.
nein nein, du hast schon Recht, das ist mit Sicherheit keine Firewall und eine durchdachte schon 'mal garnicht. Ich habe die Paketfilter nach dem Linuxbu.ch für meine Zwecke eingerichtet, sodass die Win- Clients via Masquerade nach "draussen" können und mit den anderen Regeln auf KaZaA zugreifen können. Für Deine Anmerkungen vielen Dank, so habe ich jetzt 'mal einen Anhalt, wo ich weiterbasteln kann. Viele Grüße Heiner -- ******************************* H e i n e r G e w i e h s Marketing - Fachkaufmann D- 63868 Großwallstadt Mail: heiner.gewiehs@gewiehs.de *******************************
participants (4)
-
Axel Heinrici -
Heiner Gewiehs -
Henning Hucke -
Michael Meyer