Re: w2k wird geblockt from Manfred Renken on 2007-09-07 (Oldenburger GNU/Linux-Stammtisch)

From: Manfred Renken <lufo.renken_at_t-online.de>
Date: Fri, 7 Sep 2007 20:10:18 +0200

Fehler eingekreist.

Zunächst erstmal vielen Dank an alle für die freundliche
Unterstützung.
Für die, die es interessiert und in der Hoffnung keinen zu
langweilen, hier eine Kurzerklärung:
Das t-online Modem/Router hat natürlich eigene NAT u.Portregeln
und einen eigenen DHCP-Dienst. Somit hatte ich zwei Router,
Etchrechner und Modem, hintereinander geschaltet.
Was sich offenbar nicht gut verträgt. Auf dem Modem habe
ich beide Dienste deaktiviert, dann die Internetverbindung
vom Linuxrechner über ppp0 aufgebaut und siehe da, auch die
w2k Clients schnuppern über den Etchrechner/Router Internetluft.
Wermutstropfen: Das Ganze funzt nur mit deaktivierter Firewall.
[root_at_boss: ~] # /etc/init.d/iptables start
*nat
:PREROUTING ACCEPT
:POSTROUTING ACCEPT
:OUTPUT ACCEPT
-A PREROUTING -d ! 192.168.1.2 -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -j MASQUERADE
-A OUTPUT -p tcp -m owner --uid-owner proxy -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
COMMIT
*filter
:INPUT DROP
:FORWARD DROP
:OUTPUT ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p tcp --sport 64512: --dport 64512: -m state --state ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j DROP
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A FORWARD -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A OUTPUT -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp --sport 64512: --dport 64512: -m state --state ESTABLISHED,RELATED -j ACCEPT
COMMIT

Clients haben keinen Zugang.

[root_at_boss: ~] # /etc/init.d/iptables stop
*nat
:PREROUTING ACCEPT
:POSTROUTING ACCEPT
:OUTPUT ACCEPT
#-A PREROUTING -d ! 192.168.1.2 -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -j MASQUERADE
#-A OUTPUT -p tcp -m owner --uid-owner proxy -j ACCEPT
#-A OUTPUT -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
COMMIT
*filter
:INPUT DROP
:FORWARD DROP
:OUTPUT ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A FORWARD -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT

Clients haben Zugang.

Ergo: irgendwas ist mit meinen Fw-Regeln faul.
Leider hatte ich noch nicht die Zeit mich mit Iptablesregeln
näher zu beschäftigen, aber vielleicht fällt irgendjemandem
aus der Expertenrunde etwas auf.
Würde mich über jeden Hinweis freuen.

------
Gruss,
Manfred

My system: debian etch 4.0
Received on Fri Sep 07 2007 - 20:10:18 CEST

This archive was generated by hypermail 2.2.0 : Fri Sep 07 2007 - 20:10:25 CEST