Toon posts:

[RH FCORE2] Iptables werken niet meer na simpele aanpassing

Pagina: 1
Acties:
  • 165 views sinds 30-01-2008
  • Reageer

woensdag 29 september 2004 15:29

Acties:
  • BacardiBreezer
  • Registratie: September 2003
  • Laatst online: 19-06-2005

BacardiBreezer

Breezing Bacardi ?

Topicstarter
Ik was even bezig met een test van een fedora core 2 machine en moest even poort 21 open zetten omdat ik dit bij de installatie niet gedaan had. Vervolgens kan ik na het herstarten van IPtables de webserver er niet meer bereiken, FTP enz SSH werkt wel :)

dit is de configfile van iptables:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22

# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -i eth0 -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 25 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT


Ik ben hier al eerder even aan het zoeken geweest en ook aan het googelen gegaan. Ik heb bijvoorbeeld ook met een IPtables maker een file gemaakt en dat "pakte" het systeem ook al niet.

Hele simpele configfile van Core 2 zelf met FTP er alleen aan toegevoegd :?

Ik doe iets ontzettend fout heb ik het idee..... weet alleen even niet wat..... eerder kon ik dit namelijk gewoon doen |:(

Jij bent misschien belangrijk, maar ik ben aardig ;)

woensdag 29 september 2004 15:32

Acties:
  • pierre-oord
  • Registratie: April 2002
  • Laatst online: 15-01 10:55

pierre-oord

Ik gebruik wel hoofdletters J meen ik, voor --jump. Alleen heb ik geen redhat maar debian, waarmee ik gewoon zelf een script maak. Maare, wat zijn de foutmeldingen?

Ondernemer in tech (oud LOQED.com, nu UpToMore.com)

woensdag 29 september 2004 15:34

Acties:
  • BacardiBreezer
  • Registratie: September 2003
  • Laatst online: 19-06-2005

BacardiBreezer

Breezing Bacardi ?

Topicstarter
Geen foutmeldingen bij het herstarten, dat is nu juist zo vreemd.... ik ga de J eens aanpassen :)

edit:


grote J krijg je een foutmelding...... had er al enige verwachting van

[ Voor 33% gewijzigd door BacardiBreezer op 29-09-2004 15:35 ]

Jij bent misschien belangrijk, maar ik ben aardig ;)

woensdag 29 september 2004 16:26

Acties:
  • DAzN
  • Registratie: April 2000
  • Niet online

DAzN

BacardiBreezer schreef op 29 september 2004 @ 15:29:
Ik doe iets ontzettend fout heb ik het idee..... weet alleen even niet wat..... eerder kon ik dit namelijk gewoon doen |:(
Wat is de uitvoer van /sbin/iptables --list ?

woensdag 29 september 2004 16:36

Acties:
  • BacardiBreezer
  • Registratie: September 2003
  • Laatst online: 19-06-2005

BacardiBreezer

Breezing Bacardi ?

Topicstarter
DAzN schreef op 29 september 2004 @ 16:26:
[...]


Wat is de uitvoer van /sbin/iptables --list ?
Here you go !

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
RH-Firewall-1-INPUT  all  --  anywhere             anywhere

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
RH-Firewall-1-INPUT  all  --  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain RH-Firewall-1-INPUT (2 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     icmp --  anywhere             anywhere            icmp any
ACCEPT     ipv6-crypt--  anywhere             anywhere
ACCEPT     ipv6-auth--  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:smtp
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:http
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:https
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:ssh
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:ftp
REJECT     all  --  anywhere             anywhere            reject-with icmp-host-prohibited

Jij bent misschien belangrijk, maar ik ben aardig ;)

woensdag 29 september 2004 18:00

Acties:
  • BacardiBreezer
  • Registratie: September 2003
  • Laatst online: 19-06-2005

BacardiBreezer

Breezing Bacardi ?

Topicstarter
Maar even als xtra post om het overzichtelijk te houden !


Als ik op IP van die server scan welke pooerten er open staan dan komen deze eruit:

22 ssh
25 smtp
110 pop3
111 sunrpc

Waar zie ik in die firewall-instellingen poort 110 en 111 staan ? 8)7

Jij bent misschien belangrijk, maar ik ben aardig ;)

woensdag 29 september 2004 18:51

Acties:
  • Gondor
  • Registratie: September 2003
  • Laatst online: 12:35

Gondor

Ik vind /sbin/iptables -vnL handiger dan --list zo krijg je meer informatie.

"Peace cannot be kept by force. It can only be achieved by understanding"-Albert Einstein-

woensdag 29 september 2004 18:57

Acties:
  • BacardiBreezer
  • Registratie: September 2003
  • Laatst online: 19-06-2005

BacardiBreezer

Breezing Bacardi ?

Topicstarter
Gondor schreef op 29 september 2004 @ 18:51:
Ik vind /sbin/iptables -vnL handiger dan --list zo krijg je meer informatie.
You're also welcome !


code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
   23  2661 RH-Firewall-1-INPUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 RH-Firewall-1-INPUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT 13 packets, 1276 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain RH-Firewall-1-INPUT (2 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
   23  2661 ACCEPT     all  --  eth0   *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 255
    0     0 ACCEPT     esp  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     ah   --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:25
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:80
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:443
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:21
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

Jij bent misschien belangrijk, maar ik ben aardig ;)

woensdag 29 september 2004 19:04

Acties:

Verwijderd

Apache draait nog wel?

woensdag 29 september 2004 20:17

Acties:
  • BacardiBreezer
  • Registratie: September 2003
  • Laatst online: 19-06-2005

BacardiBreezer

Breezing Bacardi ?

Topicstarter
Verwijderd schreef op 29 september 2004 @ 19:04:
Apache draait nog wel?
Hmmmm goed dat je zegt :) die draaide dus niet op dit moment niet !

Probleem opgelost zou je zeggen ? Nou het zit zo: Ik kom hier op omdat enige tijd geleden ik dit op dit testsysteem ook deed. Gewoon de firewall instellingen aanpassen en toen was http niet meer bereikbaar. Apache stond toen aan. Als ik wat wijzigde in de iptables was het dusdanig dat de poorten voor die wijziging het wel deden daarna ineens niet meer. IPtables had ik netjes opnieuw opgestart en dat bleef dus gewoon zo. Het was een beetje een mix wvan wat het toen wel en niet deed.....

Daarom viel het me nu even op.... ik zal apache ff standaard laten starten iig ! (tis maar een test maar een test moet wel goed verlopen :))

Jij bent misschien belangrijk, maar ik ben aardig ;)

woensdag 29 september 2004 21:24

Acties:

Verwijderd

Sommige oplossingen zijn soms te simpel voor woorden, maar vaak zo simpel dat je er niet bij stil staat,
Laat ff weten of het hielp.

woensdag 29 september 2004 23:52

Acties:
  • Zwerver
  • Registratie: Februari 2001
  • Niet online

Zwerver

BacardiBreezer schreef op 29 september 2004 @ 18:00:
Maar even als xtra post om het overzichtelijk te houden !


Als ik op IP van die server scan welke pooerten er open staan dan komen deze eruit:

22 ssh
25 smtp
110 pop3
111 sunrpc

Waar zie ik in die firewall-instellingen poort 110 en 111 staan ? 8)7
Waar zie ik jou standaard policy op deny staan dan? Of mis ik nu iets :? M.a.w. het ACCEPTEN van verbinding is leuk, maar heeft alleen zin als je standaard policy op DENY staat. Nu zie ik dat je INPUT chain op ACCEPT staat, dus als ik me niet vergis heeft deze FW weinig zin?

Woonachtig Down Under. Ik negeer je insults niet, maar tegen de tijd dat ik ze lees zijn ze meestal niet relevant meer

donderdag 30 september 2004 00:27

Acties:

Verwijderd

probeer eens gewoon system-config-securitylevel of Menu -> System Settings -> Security level

Daar kun je FTP aanvinken :) waarom moeilijk doen als 't makkelijk kan?

[ Voor 18% gewijzigd door Verwijderd op 30-09-2004 00:29 ]

donderdag 30 september 2004 01:14

Acties:
  • Buffy
  • Registratie: April 2002
  • Laatst online: 26-12-2024

Buffy

Fire bad, Tree pretty

Zwerver schreef op 29 september 2004 @ 23:52:
[...]


Waar zie ik jou standaard policy op deny staan dan? Of mis ik nu iets :? M.a.w. het ACCEPTEN van verbinding is leuk, maar heeft alleen zin als je standaard policy op DENY staat. Nu zie ik dat je INPUT chain op ACCEPT staat, dus als ik me niet vergis heeft deze FW weinig zin?
De laatste regel van de RH-Firewall-1-INPUT chain is een catchall met een REJECT dus de policy van de INPUT en FORWARD chains doen er niet toe.

Hij staat echter al het verkeer via interface eth0 (intern netwerk?) toe dus daarom vindt hij waarschijnlijk porten 110 en 111 open als hij lokaal scant :)

That which doesn't kill us, makes us stranger - Trevor (AEon FLux)
When a finger points at the moon, the imbecile looks at the finger (Chinese Proverb)

donderdag 30 september 2004 11:13

Acties:
  • Zwerver
  • Registratie: Februari 2001
  • Niet online

Zwerver

@ Dawns_sister

hmm, missed that :P Thnx ;)

Woonachtig Down Under. Ik negeer je insults niet, maar tegen de tijd dat ik ze lees zijn ze meestal niet relevant meer

donderdag 30 september 2004 15:26

Acties:
  • BacardiBreezer
  • Registratie: September 2003
  • Laatst online: 19-06-2005

BacardiBreezer

Breezing Bacardi ?

Topicstarter
Verwijderd schreef op 30 september 2004 @ 00:27:
probeer eens gewoon system-config-securitylevel of Menu -> System Settings -> Security level

Daar kun je FTP aanvinken :) waarom moeilijk doen als 't makkelijk kan?
Wel eens van een server gehoord ?? Ik werk daar via een SSH terminal naartoe :)

Jij bent misschien belangrijk, maar ik ben aardig ;)

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq