8
Firewall: iptables ausgehender Verkehr erlaubt, aber kein ping oder nslookup
hallo allerseits,
ich habe ein kleines problem mit meiner iptables firewall. die regeln sind so konfiguriert, dass nur eingehende verbindungen geblockt werden, bis auf die definierten ausnahmen. ist die firewall aktiv, kann ich jedoch keinen ping auf eine webseite machen bzw. löst nslookup nicht auf.
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT icmp -- anywhere anywhere
ACCEPT udp -- anywhere anywhere udp dpt:domain
ACCEPT tcp -- anywhere pmx01 tcp dpt:55100
ACCEPT tcp -- anywhere pmx01 tcp dpt:ssh
ACCEPT tcp -- anywhere pmx01 tcp dpt:1723
ACCEPT gre -- anywhere pmx01
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
übersehe ich da was? dns server sind eingetragen. schalte ich die firewall ab, läuft's wunderbar...
kann jemand helfen?
besten gruß, oliver
ich habe ein kleines problem mit meiner iptables firewall. die regeln sind so konfiguriert, dass nur eingehende verbindungen geblockt werden, bis auf die definierten ausnahmen. ist die firewall aktiv, kann ich jedoch keinen ping auf eine webseite machen bzw. löst nslookup nicht auf.
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT icmp -- anywhere anywhere
ACCEPT udp -- anywhere anywhere udp dpt:domain
ACCEPT tcp -- anywhere pmx01 tcp dpt:55100
ACCEPT tcp -- anywhere pmx01 tcp dpt:ssh
ACCEPT tcp -- anywhere pmx01 tcp dpt:1723
ACCEPT gre -- anywhere pmx01
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
übersehe ich da was? dns server sind eingetragen. schalte ich die firewall ab, läuft's wunderbar...
kann jemand helfen?
besten gruß, oliver
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 221428
Url: https://administrator.de/contentid/221428
Ausgedruckt am: 25.11.2024 um 09:11 Uhr
8 Kommentare
Neuester Kommentar
Hallo,
http://wiki.ubuntuusers.de/iptables2?redirect=no
Gruß,
Peter
PS. Deine Firewall tut doch nur das was du ihr sagst. Sagst du ihr nichts, tut sie auch nichts.
schalte ich die firewall ab, läuft's wunderbar...
Das wundert dich? Du bist sicher das ausgehender Verkehr erlaubt ist? Du hast ja schließlich keine Regel dazu definiert.http://wiki.ubuntuusers.de/iptables2?redirect=no
Gruß,
Peter
PS. Deine Firewall tut doch nur das was du ihr sagst. Sagst du ihr nichts, tut sie auch nichts.
1
sorry, vergessen zu erwähnen. ping / nslookup vom server dach draußen funktioniert nicht. z.b. ping web.de oder nslookup web.de
Chain INPUT (policy DROP): sollte alles blockieren, bis auf konfiguierte regeln, oder?
Chain FORWARD (policy ACCEPT): sollte bedeuten das alles erlaubt wird von innen nach außen, oder?
Chain OUTPUT (policy ACCEPT): sollte bedeuten das alles erlaubt wird von innen nach außen, oder?
Chain FORWARD (policy ACCEPT): sollte bedeuten das alles erlaubt wird von innen nach außen, oder?
Chain OUTPUT (policy ACCEPT): sollte bedeuten das alles erlaubt wird von innen nach außen, oder?
Moin,
Hast Du mal mit tcpdump oder wireshark auf den Interfaces gesnifft und geschaut, wie "weit" die Pakete kommen.
Ansonsten gibt es auch die Möglichkeit, einfach die gedropten Pakete zu loggen. Dann soltle man sehen, wo die hängenbleiben. udn kann die dann gegen die Regeln manuell prüfen.
lks
Hast Du mal mit tcpdump oder wireshark auf den Interfaces gesnifft und geschaut, wie "weit" die Pakete kommen.
Ansonsten gibt es auch die Möglichkeit, einfach die gedropten Pakete zu loggen. Dann soltle man sehen, wo die hängenbleiben. udn kann die dann gegen die Regeln manuell prüfen.
lks
Zitat von @bounee:
sorry, vergessen zu erwähnen. ping / nslookup vom server dach draußen funktioniert nicht. z.b. ping web.de oder
nslookup web.de
sorry, vergessen zu erwähnen. ping / nslookup vom server dach draußen funktioniert nicht. z.b. ping web.de oder
nslookup web.de
Funktioniert ping auf eine IP-Adresse auch nicht, z.B. ping 8.8.8.8 oder 8.8..4.4 oder nur die Namensauflösung?
Wenn nur die Namensauflösung nciht funktioniert:
DNS nutzt nicht nur UDP, sondern bei Bedarf auch TCP. Füge also auch eine Regel für Port 53 und TCP hinzu und schau dann nochmal.
lks
Hi
du hast Output alles erlaubt (also inkl. ausgehend DNS + PING), eingehend aber nru die paar Ports. Die Antworten von DNS und PING werden aber verworfen da sie als Input daherkommen.
Gib folgende Zeile rein bei INPUT
Damit sind alle Antworten die eingehend kommen erlaubt.
LG
du hast Output alles erlaubt (also inkl. ausgehend DNS + PING), eingehend aber nru die paar Ports. Die Antworten von DNS und PING werden aber verworfen da sie als Input daherkommen.
Gib folgende Zeile rein bei INPUT
iptables -A INPUT -m state — state ESTABLISHED,RELATED -j ACCEPT
Damit sind alle Antworten die eingehend kommen erlaubt.
LG
1
Hi,
besten Dank catachan. So funktioniert es...
Gruß, Oliver
besten Dank catachan. So funktioniert es...
Gruß, Oliver
Hallo,
Dies in den dir genannten Links http://wiki.ubuntuusers.de/iptables2?redirect=no hast du dann nicht gelesen bzw. überhaupt nicht verstanden.
Aber schön wenns jetzt geht.
Gruß,
Peter
Dies in den dir genannten Links http://wiki.ubuntuusers.de/iptables2?redirect=no hast du dann nicht gelesen bzw. überhaupt nicht verstanden.
iptables -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT #eingehende Paket für existierende Verbindungen zulassenAber schön wenns jetzt geht.
Gruß,
Peter
