[IPTABLES DROP] Dropt niet ? - Linux en overige clients

maandag 4 juni 2007 15:44

Acties:

Assumption is the mother.....

Topicstarter

Geachte tweakers, korte vraag,
ik ben hier bezig met iptables hosts te blocken echter ze worden niet geblocked.
er staat geen ACCEPT all in voor de drops.
Wel erna ? kan dit het probleem zijn ?

Hier zijn enkele voorbeelden van me chains

code:

1
2
3

Chain GTA (0 references)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere

code:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       all  --  ct501304.inktomisearch.com  anywhere            
DROP       all  --  ipd50a63eb.speed.planet.nl  anywhere            
DROP       all  --  211.104.159.54       anywhere

nu zou je denken dat deze ips gedropped zouden worden, maar dat gebeurt dus niet ?
iemand enig idee waar dit aan kan liggen ?

KPN - Vodafone Ziggo Partner

maandag 4 juni 2007 16:16

Acties:

Verwijderd

Begin eens met het posten van je complete firewall script

maandag 4 juni 2007 17:14

Acties:

CrankyGamerOG

Assumption is the mother.....

Topicstarter

Verwijderd schreef op maandag 04 juni 2007 @ 16:16:
Begin eens met het posten van je complete firewall script

wil je dat ik me hele iptables post ? :x
das een hele waslijst ondertussen.....

KPN - Vodafone Ziggo Partner

maandag 4 juni 2007 17:17

Acties:

Verwijderd

daar hebben ze pastebin's voor uitgevonden

Maar zonder het complete script kunnen we niets zeggen over jouw config.

maandag 4 juni 2007 17:47

Acties:

CrankyGamerOG

Assumption is the mother.....

Topicstarter

ik zal het script zo even posten, dit is geen eigen geschreven script, maar een script genaamd snortsam (icm met snort als IDS)

Wellicht wel bekend bij sommigen hier

deze merkt alles op en plaatst ook netjes de drop neer, echter worden de verbindingen niet gedropped.

http://www.snort.org
http://www.snortsam.net

block commando is:
iptables -I FORWARD -i eth1 -s {ip_addr_to_be_blocked} -j REJECT

unblock commando is:
iptables -D FORWARD -i eth1 -s {ip_addr_to_be_unblocked} -j REJECT

nu komt het vreemdste als ik dan in iptables kijk komen al die geblockte hosts met een DROP erin en niet met REJECT

nu ben ik geen linux goeroe en nog druk doende met te leren, echter lijken mij REJECT en DROP toch 2 verschillende dingen ?

ps pastebin ? ik hoor veel nieuwe dingen soms, maar dit heb ik nog nooit gehoord.
pps het is niet zo dat ik echt NIKs kan onder linux, maar ik ben gewoon nog aan het leren
standaard taken als users aanmaken, dingen installeren , dependencies oplossen ed kan ik nog wel, kernel compilen, andere dingen compilen , lukt allemaal wel aardig)

[ Voor 74% gewijzigd door CrankyGamerOG op 04-06-2007 17:59 ]

KPN - Vodafone Ziggo Partner

maandag 4 juni 2007 20:45

Acties:

deadinspace

The what goes where now?

CrankyGamerOG schreef op maandag 04 juni 2007 @ 17:47:
block commando is:
iptables -I FORWARD -i eth1 -s {ip_addr_to_be_blocked} -j REJECT

Wat probeer je te blokkeren? Toegang vanaf een bepaald IP tot je server, of toegang vanaf een bepaald IP tot machines achter je gateway (als je bak uberhaupt een NATting gateway is... wat is het eigenlijk) ?

In het eerste geval moet je die regel in je INPUT chain opnemen. In het tweede geval moet je volgensmij de FORWARD chain van je nat table hebben (-t nat). In beide gevallen kan het misschien ook in de PREROUTING chain van je nat table.

nu komt het vreemdste als ik dan in iptables kijk komen al die geblockte hosts met een DROP erin en niet met REJECT

nu ben ik geen linux goeroe en nog druk doende met te leren, echter lijken mij REJECT en DROP toch 2 verschillende dingen ?

Ja, dat zijn twee verschillende dingen, maar REJECT is niet in elke chain toegestaan geloof ik. Ik weet niet hoe je deze rules opgeeft, doe je dat via snortsam, of handmatig via de commandline? In dat eerste geval converteert snortsam misschien iets. In het tweede geval weet ik het zo snel niet, want iptables zou een foutmelding moeten geven als je een target specificeert dat niet is toegestaan.

ps pastebin ? ik hoor veel nieuwe dingen soms, maar dit heb ik nog nooit gehoord.

Even 'pastebin' in google invoeren, de derde hit was hier een Wikipedia artikel

edit:

Je zou ook nog de output van

iptables -vL
iptables -t nat -vL

hier kunnen pasten

[ Voor 3% gewijzigd door deadinspace op 04-06-2007 20:59 . Reden: iptables -vL stuff toegevoegd ]

maandag 4 juni 2007 21:17

Acties:

CrankyGamerOG

Assumption is the mother.....

Topicstarter

deadinspace schreef op maandag 04 juni 2007 @ 20:45:
[...]

Wat probeer je te blokkeren?
Toegang vanaf een bepaald IP tot de server
de machine is geen gateway , maar puur een webserver

In het eerste geval moet je die regel in je INPUT chain opnemen.
hele input chain staat vol met drops, maar toch dropped ie hem niet

Je zou ook nog de output van
iptables -vL
iptables -t nat -vL
hier kunnen pasten

mjah dat word een elle lange waslijst, ik post hem straks als ik thuis kom wel

je weet wel nu ben ik aan het werk , en me baas laat al veel toe onder werktijd

dus moet het niet te gek gaan maken he

hummzzzz iptables is ondertussen zo vol met blocks dat als ik um hier moet posten ik 4 paginas ga beslaan ofzo, dus het word pastebin

edit
http://paste.uni.cc/16097

[ Voor 29% gewijzigd door CrankyGamerOG op 05-06-2007 00:18 ]

KPN - Vodafone Ziggo Partner