Hallo! Hab nun das RPM iptables-1.2.5 installiert. Funktioniert auch soweit... Nur komischer weise sagt er mir bei iptables --dport das er das argument --dport nicht kennt !?! woran kann das nun wieder liegen ? .............................. Danke, Dennis ..............................
Hallo! Also, ich hab das Skript so gestartet: ------------schnipp--------------------- #!/bin/bash # Externe Programme definieren IPTABLES='/sbin/iptables' MODPROBE='/sbin/modprobe' # Schnittstellen definieren INTERN=lo EXTERN=eth0 # Nur absolut notwendige Module laden. $MODPROBE --autoclean --syslog ip_tables # Standard-Regelketten entleeren $IPTABLES -F INPUT $IPTABLES -F FORWARD $IPTABLES -F OUTPUT # Alles abblocken, selbst die interene Kommunikation $IPTABLES -P INPUT DROP $IPTABLES -P OUTPUT ACCEPT $IPTABLES -P FORWARD DROP #=================== # INPUT verarbeiten #=================== # Lokale Kommunikation freigeben $IPTABLES -A INPUT -i $INTERN -j ACCEPT # Antworten aus dem Internet akzeptieren $IPTABLES -A INPUT -i $EXTERN -p tcp --dport 20 -j ACCEPT $IPTABLES -A INPUT -i $EXTERN -p tcp --dport 21 -j ACCEPT $IPTABLES -A INPUT -i $EXTERN -p tcp --dport 22 -j ACCEPT $IPTABLES -A INPUT -i $EXTERN -p tcp --dport 25 -j ACCEPT $IPTABLES -A INPUT -i $EXTERN -p tcp --dport 80 -j ACCEPT $IPTABLES -A INPUT -i $EXTERN -p tcp --dport 110 -j ACCEPT $IPTABLES -A INPUT -i $EXTERN -p udp --dport 20 -j ACCEPT $IPTABLES -A INPUT -i $EXTERN -p udp --dport 21 -j ACCEPT $IPTABLES -A INPUT -i $EXTERN -p udp --dport 22 -j ACCEPT $IPTABLES -A INPUT -i $EXTERN -p udp --dport 25 -j ACCEPT $IPTABLES -A INPUT -i $EXTERN -p udp --dport 80 -j ACCEPT $IPTABLES -A INPUT -i $EXTERN -p udp --dport 110 -j ACCEPT --------------------- schnapp ---------------------- wenn ich nun vom inet aus (win98kiste) den server scanne, sind die obigen ports offen und diese: 81 - hosts2-ns; 82 - xfer; 83 - mit-ml-dev; 1080 - socks; 1863 - msnp; 5190 - aol; 8080 - http-alt; 8088 - http-proxy1; 11523 - aol ... müssen diese offen sein oder stimmt mein skript nicht ... hatte auch mal ip6tables installiert, das sollte aber nicht stören oder ? .............................. Danke, Dennis ...............................
Hi
# Antworten aus dem Internet akzeptieren $IPTABLES -A INPUT -i $EXTERN -p tcp --dport 20 -j ACCEPT $IPTABLES -A INPUT -i $EXTERN -p tcp --dport 21 -j ACCEPT $IPTABLES -A INPUT -i $EXTERN -p tcp --dport 22 -j ACCEPT ... $IPTABLES -A INPUT -i $EXTERN -p tcp --dport 80 -j ACCEPT ......
Äähem. Was soll denn das mal mal werden, wenn es fertig ist? Ich habe in einem deiner vorigen threaeds schon geantwortet, aber nun bin ich mir nicht mehr ganz im Klaren was du überhaupt vor hast. Wie sieht dein Netz überhaupt aus? Soll auf dem Rechner ein http- ein ftp- usw. Server laufen, oder nicht? Oder willst du nur von dem Rechner aus auf Resourcen im Internet zugreifen?
Hallo!
Genau, die ganzen sachen sollen dort drauf laufen...
nur macht er die anderen ports auch nicht dicht....
kann es daran liegen das noch ip6tables installiert ist?
danke, dennis.
----- Original Message -----
From: "Axel Heinrici"
Hi
# Antworten aus dem Internet akzeptieren $IPTABLES -A INPUT -i $EXTERN -p tcp --dport 20 -j ACCEPT $IPTABLES -A INPUT -i $EXTERN -p tcp --dport 21 -j ACCEPT $IPTABLES -A INPUT -i $EXTERN -p tcp --dport 22 -j ACCEPT ... $IPTABLES -A INPUT -i $EXTERN -p tcp --dport 80 -j ACCEPT ......
Äähem. Was soll denn das mal mal werden, wenn es fertig ist? Ich habe in einem deiner vorigen threaeds schon geantwortet, aber nun bin ich mir nicht mehr ganz im Klaren was du überhaupt vor hast. Wie sieht dein Netz überhaupt aus? Soll auf dem Rechner ein http- ein ftp- usw. Server laufen, oder nicht? Oder willst du nur von dem Rechner aus auf Resourcen im Internet zugreifen?
-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfügbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
Hi Ok. Ich denke ich hab es jetzt. An Ip6tables sollte es eigentlich nicht liegen. Sicherheitshalber mal ein lsmod eingeben. Wenn der Kernel nicht monolithisch ist sollte das Klarheit verschaffen, ob Ip6-module geladen werden. Mal ne kurze Frage zwischendurch. Ich habe mich etwas in dein Skript "hereingedacht". Eigentlich sollte es laufen.... :-) Bist du sicher, daß das Skript richtig ausgeführt wird? ---Ich weiß, daß solche Fragen oft mißverstanden werden und ich will auch keinen für doof erklären, aber dennoch stelle ich sie hier. Wenn du meinst, daß du über solche Anfängerprobleme längst hinweg bist, dann vergiss diese mail einfach!--- Was sagt ein iptables -L -vn? Wenn das alles gut aussieht, dann probier mal folgende Diagnose Prozedur. Häng mit "iptables -A INPUT" eine Regel an. Diese Regel ist absolut wirkungslos, erzeugt aber einen Eintrag am Ende der INPUT-chain, der alle vorbeikommenden Packete mitzählt. Dann ein iptables -Z, dann die Ports scannen und dann noch einmal iptables -L -nv. Danach sollte es klar sein, wo welche Packete langkommen. Damit sollte dann hoffentlich sichtbar werden, wo das Problem liegt. Gruß Axel
participants (2)
-
Axel Heinrici
-
Dennis Wicht