ich hab momentan selbst probleme und glaube fast das ich zu sehr drin bin um die einfach Lösung zu sehen. Ich habe via gentoo ein Update meines Servers gemacht und seither komme ich nicht mehr ins Inet mit den Clients hinter dem Server. Mein Server fungiert als Router zwischen Modem und meinem lokalen Netz. Vom Server aus komme ich ins Inet, vom Client her nicht. Ich habe via tcpdump gesehen (anhand von pings auf google), dass meine Pakete zwar das interne Interface erreichen, aber von da nicht weiter kommen und schon gar keine Antwort kommt.
Nun die Vermutung liegt nahe das mein Paketfilter seine Finger im Spiel hat, falls sich jemand damit auskennt bitte gerne Kommentare und Verbesserungen anbringen. Ich hab mir das vor etwa nem Jahr selbst zusammen gebastelt und weiss nicht ob mein System jetzt anfängt zu versagen.
Für Tipps an was es sonst liegen könnte wäre ich auch dankbar.
iptables.rules:
Quellcode
- testserver / # iptables -L
- Chain INPUT (policy DROP)
- target prot opt source destination
- ACCEPT tcp -- anywhere anywhere tcp dpt:12185 flags:SYN,RST,ACK/SYN
- ACCEPT tcp -- anywhere anywhere tcp dpt:ftp-data flags:SYN,RST,ACK/SYN
- ACCEPT tcp -- anywhere anywhere tcp dpt:ftp flags:SYN,RST,ACK/SYN
- ACCEPT tcp -- anywhere anywhere tcp dpt:http flags:SYN,RST,ACK/SYN
- ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
- ACCEPT all -- anywhere anywhere state NEW
- REJECT udp -- anywhere anywhere udp dpt:bootps reject-with icmp-port-unreachable
- REJECT udp -- anywhere anywhere udp dpt:domain reject-with icmp-port-unreachable
- ACCEPT icmp -- anywhere anywhere icmp echo-request
- Chain FORWARD (policy DROP)
- target prot opt source destination
- ACCEPT all -- 192.168.1.0/24 anywhere
- ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
- DROP all -- anywhere anywhere state INVALID
- DROP tcp -- anywhere anywhere tcp flags:!SYN,RST,ACK/SYN state NEW
- DROP all -- anywhere 192.168.1.0/24
- DROP all -- 192.168.1.0/24 anywhere
- LOG all -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning
- LOG all -- anywhere anywhere LOG level warning
- ACCEPT tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN limit: avg 3/hour burst 5
- tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/RST limit: avg 3/hour burst 5
- icmp -- anywhere anywhere icmp echo-request limit: avg 3/hour burst 5
- Chain OUTPUT (policy ACCEPT)
- target prot opt source destination
- ACCEPT tcp -- anywhere anywhere tcp dpt:http
Zur Erklärung:
-Ich habe meinen SSH-Zugang auf Port 12185 am laufen.
-Auf dem Server läuft auch noch ein FTP und Apache auf den Standard-Ports
-Diese "limit: avg 3/hour burst 5" in der FORWARD Chain sind, wenn ich mich richtig erinnere, dazu da Flood Attacken entgegenzuwirken (also SYN Flood usw.).
-purx
[EDIT]Hab gerade noch einen Tipp bekommen, der Wer "ip_forward muss auf 1 sein, bei mir war es auf 0 einstellt, testen kann ich erst heute abend...
[/EDIT]
[SIZE=1]"There's no right, there's no wrong, there's only popular opinion." Jeffrey Goines (Brad Pitt) in Twelve Monkeys[/SIZE]
[SIZE=1]$ killall chico[/SIZE]
[SIZE=1]$ killall chico[/SIZE]