iptables en ip6tables - Linux en overige clients

donderdag 26 februari 2004 21:59

Acties:

Topicstarter

De laatste tijd heb ik mijn server een aantal keer moeten opstarten.

Maar elke keer werken de rules in de firewall niet, ik moet dan meestal 1 of twee keer opnieuw de rules inladen en dan werkt het weer.

Ik heb even gezocht in mijn server waar dit aan kan liggen, maar ik zie dat iptables en ip6tables allebij gestart worden, mijn vraag is eigelijk kan/moet dit? De rules worden bij het opstarten gehaald uit /etc/sysconfig/iptables deze is gemaakt door iptables-save.

ip6tables wijst naar /etc/sysconfig/ip6tables welke niet bestaat.
ip6tables -L werkt niet, foutmelding is:

code:

1 2	ip6tables v1.2.7a: can't initialize ip6tables table `filter': Address family not supported by protocol Perhaps iptables or your kernel needs to be upgraded.

Kan het hier aan liggen dat het forwarden na het opstarten niet goed gaat met iptables? Of moet ik iptables-save niet gebruiken en het bestand /etc/rc.d/init.d/iptables vervangen door een eigen script.

owja het besturringssysteem RH9.

vrijdag 27 februari 2004 09:03

Acties:

Jelmer

modprobe ipv6?

Kortom, even in /etc/modules ipv6 erbij zetten.

vrijdag 27 februari 2004 12:07

Acties:

dominion99

Topicstarter

Ja ik snap dat een bepaalde module niet in de kernel zit.

Heeft het wel nut om ip6tables en iptables langs elkaar te draaien?

vrijdag 27 februari 2004 12:36

Acties:

Verwijderd

Jazeker heeft dat nut, je kan dan van zowel IPV4 als IPV6 diensten gebruik maken.

Bijvoorbeeld VOIP over IPV6 werkt een stuk beter van VOIP op IPV4.
Immers bij IPV4 moet je dan gaan NATTEN/PORT FORWARDEN etc. en dat kost CPU tijd.
Bij IPV6 hoef je alleen maar "eenvoudige" routing en filter rules toe te passen dus een firewall is iets eenvoudiger in elkaar te zetten.

Een combinatie van beiden maakt het geheel natuurlijk wel complexer maar beide protocollen zijn goed naast elkaar te draaien.

Oh ja en je moet IPV6 wel aanzetten in je kernel of als module of als meegecompileerde feature.

[ Voor 3% gewijzigd door Verwijderd op 27-02-2004 12:37 ]

vrijdag 27 februari 2004 21:51

Acties:

dominion99

Topicstarter

Moet ik dus voor Ip6Tables andere rules maken dan voor IpTables.

Waarom iptables-save niet werkt tijdens het opstarten zal zeker liggen aan het feit dat zo'n regels als

code:

1	echo 1 > /proc/sys/net/ipv4/ip_forward

niet werken tijdens het opstarten, doordat er gebruik gemaakt word van iptables-save?
(iptables-save maakt een config bestand wat tijdens het opstarten ingelezen word door iptables)

Zie het nut van ip6tables op dit moment nog niet zo in, de rules werken voor iptables op dit moment prima, of krijg ik nou ook beveiligingslekken?

vrijdag 27 februari 2004 22:26

Acties:

Gondor

Ik denk dat je probleem niets te maken heeft dat je iptables regels van /etc/sysconfig/iptables komen. Zo heb ik het ook en is in RH9 standaard zo.

Dat je geen ip6tables hebt heeft ook niks te maken met je probleem met iptables. Als je ipv6 niet gebruikt hoef je ook niet ip6tables te draaien, kan wel maar heeft geen nut gezien hij dan nooit iets te doen zult krijgen.

ip6tables naast iptables draaien is geen probleem ze zullen elkaar niet belemmeren. En als je ipv6 niet gebruikt is ip6tables overbodig.

Ik zou die /etc/rc.d/init.d/iptables file niet vervangen door een eigen script, dat zal niet werken. Wat je wel kan doen is die file leeg maken en met drie regels alles blokkeren en vervolgens je eigen script later aanroepen/uitvoeren.

dominion99 schreef op 27 februari 2004 @ 21:51:
Moet ik dus voor Ip6Tables andere rules maken dan voor IpTables.

Waarom iptables-save niet werkt tijdens het opstarten zal zeker liggen aan het feit dat zo'n regels als
code:
1
echo 1 > /proc/sys/net/ipv4/ip_forward
niet werken tijdens het opstarten, doordat er gebruik gemaakt word van iptables-save?
(iptables-save maakt een config bestand wat tijdens het opstarten ingelezen word door iptables)

Zie het nut van ip6tables op dit moment nog niet zo in, de rules werken voor iptables op dit moment prima, of krijg ik nou ook beveiligingslekken?

Als je die regel in die iptables file zet tuurlijk zal die niet werken. De inhoud van die file dient als een soort argumenten voor iptables. En iptables kent geen argument die met echo begint

Hoe gebruik jij iptables-save? Wat staat in die /etc/rc.d/init.d/iptables
/etc/sysconfig/iptables file?

"Peace cannot be kept by force. It can only be achieved by understanding"-Albert Einstein-

vrijdag 27 februari 2004 22:35

Acties:

dominion99

Topicstarter

Als je die regel in die iptables file zet tuurlijk zal die niet werken. De inhoud van die file dient als een soort argumenten voor iptables. En iptables kent geen argument die met echo begint

Ja dat wist ik al, wat ik bedoelde dat iptables-save zo'n dergelijke regels niet zal maken. Deze regels heb ik namelijk wel in mijn eigen script staan. Dat iptables zo'n regels niet begrijpt is wel duidelijk

Hoe gebruik jij iptables-save? Wat staat in die /etc/rc.d/init.d/iptables
/etc/sysconfig/iptables file?

Die file in sysconfig zijn de regels die op dit moment in de firewall zitten. Ga die hier niet posten want die regels werken gewoon wel vanuit een script

Ik zal eens proberen om met drie regels de boel te blokken en dan mijn eigen script uit te voeren

[ Voor 7% gewijzigd door dominion99 op 27-02-2004 23:11 ]

vrijdag 27 februari 2004 23:10

Acties:

dominion99

Topicstarter

Misschien doe ik iets verkeerd, maar ik heb nu het bestand in /etc/rc.d/init.d/iptables leeggemaakt en de volgende regels opgenomen

code:

#!/bin/sh

IPTABLES="/sbin/iptables"

${IPTABLES} -F
${IPTABLES} -X
${IPTABLES} -Z
${IPTABLES} -t nat -F
${IPTABLES} -t nat -X
${IPTABLES} -t nat -Z

${IPTABLES} -P INPUT DROP
${IPTABLES} -P FORWARD DROP
${IPTABLES} -P OUTPUT DROP
${IPTABLES} -t nat -P PREROUTING ACCEPT
${IPTABLES} -t nat -P POSTROUTING ACCEPT
${IPTABLES} -t nat -P OUTPUT ACCEPT

/bin/sh /etc/rc.firewall

in rc.firewall staan dan weer de nieuwe regels. Tijdens het opstarten zijn er geen fouten over dat de rc.firewall file niet gevonden is.

Maar alleen de bovenstaande regels worden uitgevoerd en het bestand rc.firewall niet. Moet ik dit apart laten uitvoeren, zoja hoe moet ik die dan laten uitvoeren tijdens het opstarten?

vrijdag 27 februari 2004 23:12

Acties:

Gondor

dominion99 schreef op 27 februari 2004 @ 22:35:
[...]

Ja dat wist ik al, wat ik bedoelde dat iptables-save zo'n dergelijke regels niet zal maken. Deze regels heb ik namelijk wel in mijn eigen script staan. Dat iptables zo'n regels niet begrijpt is wel duidelijk

[...]

Die file in sysconfig zijn de regels die op dit moment in de firewall zitten. Ga die hier niet posten want die regels werken gewoon wel vanuit een script

Ik zal eens proberen om met drie regels de boel te blokken en dan mijn eigen script uit te voeren

Je hoeft ze idd niet hier te posten, maar heb je zelf wel gekeken of ze wel overeen komen met je regels in je eigen script? En laat je de regels die niet in die file voorkomen ook uitvoeren, tijdens/na het booten?

En wat werkt eigenlijk niet meteen na het booten? Blokkeert je firewall alles of laat hij alles door of iets anders. Kan aan mij liggen maar ik heb je probleem nog niet goed kunnen begrijpen.

"Peace cannot be kept by force. It can only be achieved by understanding"-Albert Einstein-

vrijdag 27 februari 2004 23:21

Acties:

Gondor

dominion99 schreef op 27 februari 2004 @ 23:10:
Misschien doe ik iets verkeerd, maar ik heb nu het bestand in /etc/rc.d/init.d/iptables leeggemaakt en de volgende regels opgenomen
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
#!/bin/sh

IPTABLES="/sbin/iptables"

${IPTABLES} -F
${IPTABLES} -X
${IPTABLES} -Z
${IPTABLES} -t nat -F
${IPTABLES} -t nat -X
${IPTABLES} -t nat -Z

${IPTABLES} -P INPUT DROP
${IPTABLES} -P FORWARD DROP
${IPTABLES} -P OUTPUT DROP
${IPTABLES} -t nat -P PREROUTING ACCEPT
${IPTABLES} -t nat -P POSTROUTING ACCEPT
${IPTABLES} -t nat -P OUTPUT ACCEPT

/bin/sh /etc/rc.firewall
in rc.firewall staan dan weer de nieuwe regels. Tijdens het opstarten zijn er geen fouten over dat de rc.firewall file niet gevonden is.

Maar alleen de bovenstaande regels worden uitgevoerd en het bestand rc.firewall niet. Moet ik dit apart laten uitvoeren, zoja hoe moet ik die dan laten uitvoeren tijdens het opstarten?

Aaa, dat heb je niet goed gedaan die file is een soort script wat je kan gebruiken als bijvoorbeeld:

code:

/etc/rc.d/init.d/iptables start
/etc/rc.d/init.d/iptables stop
/etc/rc.d/init.d/iptables restart
/etc/rc.d/init.d/iptables status
/etc/rc.d/init.d/iptables panic
...

en heeft niks met je regels te maken, daarvoor moest je /etc/sysconfig/iptables leeg maken en die gebruiken. Sterker ipv handmatig leegmaken en invoeren kan je beter

code:

1	iptables-save > /etc/sysconfig/iptables

gebruiken.

Dus eerst je "alles blokker" regels actief maken en daarna iptables-save op die manier gebruiken.

edit: En daar na vanuit /etc/rc.d/rc.local je eigen script aan roepen voor de echte firewall regels.

[ Voor 5% gewijzigd door Gondor op 27-02-2004 23:28 ]

"Peace cannot be kept by force. It can only be achieved by understanding"-Albert Einstein-

Pagina: 1

Reageer