Hi,
-----Original Message----- From: Peter Blancke [mailto:blancke@gmx.de] Sent: Friday, December 28, 2001 6:15 PM To: Suse-Linux Subject: Re: firewall - ipchains
On Fri, 28 Dec 2001, Michael Temeschinko wrote:
wer kann mir sagen warum ich nach dem Start von diesem Skript nicht mehr per ssh auf dem Server arbeiten kann (http, mysql ... geht auch nicht
Zu SSH: Was meinst Du mit "ssh auf dem Server"? Soll man von aussen her per ssh auf Deinen Server zugreifen koennen oder willst Du auf externe Rechner im Netz per ssh zugreifen?
Ich nehme jetzt einfach einmal Letzteres an.
echo "ssh"
$IPC -A input --sport ssh -p tcp -j ACCEPT $IPC -A output --sport ssh -p tcp -j ACCEPT
Abgehende Pakete mit Quellport ssh sollen also akzeptiert werden. Da ist doch schon der Fehler. Die abgehenden Pakete haben doch als _ZIEL_ den ssh-Port anzusprechen. Also:
$IPC -A output --dport ssh -p tcp -j ACCEPT
Danke hab ich geändert - aber da muß noch irgendwo ein Hund begraben liegen
echo "http"
$IPC -A input --sport http -p tcp --dport $UNPRIV -j ACCEPT $IPC -A input --sport http -p udp -j ACCEPT
UDP auf http-Basis? Das waere mir voellig neu, womit ich nicht ausschliessen moechte, dass es vielleicht immer noch Dinge fuer mich gibt, die neu sein koennen. Wozu UDP?
hm bei mir in /etc/service steht jedenfalls ein Eintrag dafür aber ob http udp benutzt weiß ich auch nicht genau - na ja wohl eher nicht
echo "https"
$IPC -A input --sport https -p tcp -j ACCEPT $IPC -A input --sport https -p udp -j ACCEPT
Gleiche Ueberlegung zu http.
# Default-Policy ---------------------------------------
$IPC -P input REJECT $IPC -P forward REJECT $IPC -P output REJECT
Und die Default-Policy setze mal an den Anfang des Scripts. Das ist wahrscheinlich nicht noetig, entspricht aber eher der menschlichen Denkart: "Mach alles dicht, dann ueberlege, was man aufmacht."
hatte ich auch so, nur dann kamen mir zweifel ich kann den Server nur remote administrieren komm also nicht an die konsole und da hatte der als ich das Script laufen lassen hab schon mitten im Script irgendwie abgebrochen wahrscheinlich weil ich irgendwie Grundlegende Netzwerksachen ausschalte :( wenigsten weiß ich jetzt wie man das richtig macht echo "firewall" | at now dann führt der at-demon das script aus und nicht ich über ssh ändert aber leider nix daran das ich dann sofort rausfliege (hab zum Glück ein Cron-Job angelegt der alle 5 Minuten die ipchains löscht)
Viel Erfolg beim Weiterexperimentieren.
Danke, Erfolg wär mal zur Abwechslung nicht schlecht mit freundlichen Grüßen aus dem "Alten Forsthaus" Michael Temeschinko _________________________________________________________________ amorebio GmbH i.Gr. * >> Frische, die ankommt ! << Altes Forsthaus * Michael Temeschinko 76698 Ubstadt/Weiher * techn. Geschäftsführer Tel.: +49 7251 3 67 99 67 Fax: 3 67 789 mt@buyway.de