Toon posts:

[Debian]Apt-get werkt niet na iptables configuratie

Pagina: 1
Acties:
  • 162 views sinds 30-01-2008
  • Reageer

woensdag 22 oktober 2003 14:53

Acties:
  • Brainwaste
  • Registratie: Juni 2001
  • Laatst online: 20-04 15:08

Brainwaste

Topicstarter
Zoals de topic titel al doet vermoeden kan ik na de configuratie van iptables op m'n webserver geen gebruik meer maken van apt-get. Apt-get krijgt geen verbinding meer met het internet.
Ook connecten naar m'n ftp-server verloopt moeizaam, hij lijkt wel een connectie te maken maar het lukt em niet om een file list weer te geven.
Het lukt wel om met SSH in te loggen op m'n server en ook de webserver draait gewoon.

Ik maak gebruik van de kernel 2.4.22 met het volgende script voor de configuratie van iptables:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49

# location of iptables program
IPTABLES="/sbin/iptables"

# static ip on internet
INET_IP="xxx.xxx.xxx.xxx"

# interface for internet
INET_INTERFACE="eth0"


echo "iptables firewall/masquerading script started..."

# flush all rules in filter/NAT table
$IPTABLES --flush


# Deny everything else
$IPTABLES --policy INPUT DROP

#
# ICMP rules
#

# Echo request
$IPTABLES -A INPUT -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT

# Time to Live (TTL)
$IPTABLES -A INPUT -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT


#
# TCP rules
#

# ftp-data (20) and ftp (21)
$IPTABLES --append INPUT --protocol tcp --dport 20 --jump ACCEPT
$IPTABLES --append INPUT --protocol tcp --dport 21 --jump ACCEPT

# ssh (22)
$IPTABLES --append INPUT --protocol tcp --dport 22 --jump ACCEPT

# http (80)
$IPTABLES --append INPUT --protocol tcp --dport 80 --jump ACCEPT

# webmin (81)
$IPTABLES --append INPUT --protocol tcp --dport 81 --jump ACCEPT


echo "done."


Kunnen jullie hier aan zien wat er aan veranderd zou moeten worden ?


PS. Ik vroeg me af of dit in NOS of in NT moest......

woensdag 22 oktober 2003 14:58

Acties:
  • Creepy
  • Registratie: Juni 2001
  • Laatst online: 08:01

Creepy

Tactical Espionage Splatterer

Zet poort 53 eens open zodat DNS het ook goed :)

"I had a problem, I solved it with regular expressions. Now I have two problems". That's shows a lack of appreciation for regular expressions: "I know have _star_ problems" --Kevlin Henney

woensdag 22 oktober 2003 15:24

Acties:
  • Brainwaste
  • Registratie: Juni 2001
  • Laatst online: 20-04 15:08

Brainwaste

Topicstarter
Voor het openzetten van DNS moet ik deze regel in m'n script zetten en dat dan runnen zeker ?

# dns (53)
$IPTABLES --append INPUT --protocol tcp --dport 53 --jump ACCEPT

edit:

Regel toegevoegd en script opnieuw gerunned maar nog steeds hetzelfde probleem.

[ Voor 23% gewijzigd door Brainwaste op 22-10-2003 15:27 . Reden: getest ]

woensdag 22 oktober 2003 15:34

Acties:
  • BoAC
  • Registratie: Februari 2003
  • Laatst online: 06:41

BoAC

Memento mori

Volgens mij heb je hier wel wat aan:
http://www.netfilter.org/...et-filtering-HOWTO-5.html
Je moet ook de ESTABLISHED en RELATED connecties toelaten.

woensdag 22 oktober 2003 15:39

Acties:
  • Brainwaste
  • Registratie: Juni 2001
  • Laatst online: 20-04 15:08

Brainwaste

Topicstarter
Oke, dat is denk wel nuttige info.

Ik neem aan dat ik deze regels toe moet voegen:

iptables -N block
iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT


maar wat moet ik met deze:

iptables -A block -m state --state NEW -i ! ppp0 -j ACCEPT

Ik heb namelijk geen PPP verbinding, of zou ik van die ppp0 eth0 moeten maken ?

woensdag 22 oktober 2003 15:53

Acties:
  • Valium
  • Registratie: Oktober 1999
  • Laatst online: 31-03 15:17

Valium

- rustig maar -

Denk even na wat die regel iptables -N block doet.
Die moet je dus niet hebben.

Je moet die 2e regel hebben en enigszins aanpassen op jouw situatie:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

informatie over wat alles betekent kun je opzoeken met de gebruikelijke commando's (man iptables helpt hier)

Misschien is een kant-en-klare oplossing voor jou beter, zoals bijvoorbeeld de rc.firewall van monmotha. Of een programmaatje zoals firestarter.

edit:

Nou okee, we leggen die ppp-regel even uit:
[code]iptables -A block -m state --state NEW -i ! ppp0 -j ACCEPT[/code]
Die -A block betekent gewoon "toevoegen aan de chain block, dus bij jou zou het INPUT moeten zijn.

-m state start een bepaalde module om pakketten te kunnen herkennen. Zie manual voor meer info.

--state NEW lijkt me duidelijk. Alle nieuwe verbindingen.

-i ! ppp0 betekent interface ongelijk aan ppp0. Het voorbeeld wat jij leest gebruikt blijkbaar ppp0 als internetverbinding.

De hele regel betekent dus: Nieuwe verbindingen van alle NICs behalve de internetverbinding (ppp0) altijd toestaan.

[ Voor 41% gewijzigd door Valium op 22-10-2003 15:59 . Reden: extra uitleg ]

woensdag 22 oktober 2003 16:56

Acties:
  • Brainwaste
  • Registratie: Juni 2001
  • Laatst online: 20-04 15:08

Brainwaste

Topicstarter
Voor deze regel moet je zeker nog wat compileren in de kernel:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

hoorde iets over mangeling wat in de kernel zou moeten zitten hiervoor, is dat zo? Als dat het geval is dan ga ik even een nieuwe kernel compilen daarvoor.
Pagina: 1
Reageer