5
Debian Iptables kein Ping und DNS nach außen möglich
Hallo Zusammen,
ich habe ein kleines Problem mit meinem Debian Rechner/Server und den iptables.
Da ich mir aus dem Administrator Forum schon viele gute Tipps geholt habe, hab ich mich jetzt auch endlich mal registriert und wollte mal nachfragen an was es liegt.
Nun zu meiner Problemstellung....
Ich habe einen Debian Rechner auf dem eine Anwendung auf einem speziellen tcp Port läuft.
Ich habe nun für den Zugriff von außen Open VPN installiert, das funktioniert auch so hervorragend.
Die entfernten Rechner sollen aber nur auf diesen einen Port Zugriff haben und sonst nichts.
Mein lokales Netz ist (192.168.50.0/24) und mein Open VPN Netz ist das (192.168.60.0/24).
Jetzt hab ich mir gedacht, dass ich eine Iptable Rule auf dem Rechner anlege und alles aus meinem lokalen Netz erlaube.
Für das Open VPN Netz erlaube ich nur den einen Port und der Rest wird gedropt.
Wenn ich die Regel jetzt aktiviere dann funktioniert nicht mal mehr auf dem Debian Rechner ein Ping nach außen bzw. auch kein Zugriff zum Internet wie mit (apt-get install) o.ä..
Hier meine Regel:
*filter
-A INPUT -p udp -s 192.168.50.0/24 -j ACCEPT
-A INPUT -p tcp -s 192.168.50.0/24 -j ACCEPT
-A INPUT -p tcp -s 192.168.60.0/24 --dport xxxx -j ACCEPT
-A INPUT -p udp --dport 1194 -j ACCEPT # OPENVPN PORT
-A INPUT -j DROP
COMMIT
Ausgehenden habe ich eigentlich ja alles erlaubt.
Was mir noch aufgefallen ist, aber wahrscheinlich nichts zur Ursache helfen wird ist, dass wenn ich mit "ifconfig" die Netzwerkkonfig des Open VPN tun1 Interfaces aufrufe folgendes drinsteht:
inet Adresse:192.168.60.1 P-z-P:192.168.60.2 Maske:255.255.255.255
Ich hab aber in der OpenVPN Konfig ein /24 Netz angegeben.
Vielleicht habt ihr ja einen Tipp für mich.
Vielen Dank und einen schönen Sonntag noch.
Gruß!
ich habe ein kleines Problem mit meinem Debian Rechner/Server und den iptables.
Da ich mir aus dem Administrator Forum schon viele gute Tipps geholt habe, hab ich mich jetzt auch endlich mal registriert und wollte mal nachfragen an was es liegt.
Nun zu meiner Problemstellung....
Ich habe einen Debian Rechner auf dem eine Anwendung auf einem speziellen tcp Port läuft.
Ich habe nun für den Zugriff von außen Open VPN installiert, das funktioniert auch so hervorragend.
Die entfernten Rechner sollen aber nur auf diesen einen Port Zugriff haben und sonst nichts.
Mein lokales Netz ist (192.168.50.0/24) und mein Open VPN Netz ist das (192.168.60.0/24).
Jetzt hab ich mir gedacht, dass ich eine Iptable Rule auf dem Rechner anlege und alles aus meinem lokalen Netz erlaube.
Für das Open VPN Netz erlaube ich nur den einen Port und der Rest wird gedropt.
Wenn ich die Regel jetzt aktiviere dann funktioniert nicht mal mehr auf dem Debian Rechner ein Ping nach außen bzw. auch kein Zugriff zum Internet wie mit (apt-get install) o.ä..
Hier meine Regel:
*filter
-A INPUT -p udp -s 192.168.50.0/24 -j ACCEPT
-A INPUT -p tcp -s 192.168.50.0/24 -j ACCEPT
-A INPUT -p tcp -s 192.168.60.0/24 --dport xxxx -j ACCEPT
-A INPUT -p udp --dport 1194 -j ACCEPT # OPENVPN PORT
-A INPUT -j DROP
COMMIT
Ausgehenden habe ich eigentlich ja alles erlaubt.
Was mir noch aufgefallen ist, aber wahrscheinlich nichts zur Ursache helfen wird ist, dass wenn ich mit "ifconfig" die Netzwerkkonfig des Open VPN tun1 Interfaces aufrufe folgendes drinsteht:
inet Adresse:192.168.60.1 P-z-P:192.168.60.2 Maske:255.255.255.255
Ich hab aber in der OpenVPN Konfig ein /24 Netz angegeben.
Vielleicht habt ihr ja einen Tipp für mich.
Vielen Dank und einen schönen Sonntag noch.
Gruß!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 261119
Url: https://administrator.de/contentid/261119
Printed on: April 19, 2024 at 07:04 o'clock
5 Comments
Latest comment
Moin,
Ich mache grundsätzlich folgendes:
Danach kommt dann das spezifische Regelwerk, zum Beispiel:
Gruß,
Dani
Ausgehenden habe ich eigentlich ja alles erlaubt.
Mit wecher Regel?Ich mache grundsätzlich folgendes:
#Alle vorhandenen Regeln loeschen
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X
#Grundregeln
iptables -P OUTPUT ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROPiptables -A OUTPUT -p ALL -j ACCEPTGruß,
Dani
Moin,
Und was sagt ein sudo iptables -L
lks
Und was sagt ein sudo iptables -L
lks
Dir fehlt eine Regel (vor dem DROP), die eingehende Antwortpakete erlaubt:
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Sonst werden ja alle Ping-Antworten, die nicht aus den bereits erlaubten Netzen kommen, allesamt verworfen.
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Sonst werden ja alle Ping-Antworten, die nicht aus den bereits erlaubten Netzen kommen, allesamt verworfen.
Hi,
vielen Dank für die Hilfe.
Ich hab jetzt einfach folgendes gemacht:
1: Die iptable mit "iptables --flush" gelöscht
2: Die drei Befehle "iptables -P OUTPUT ACCEPT" "iptables -P INPUT DROP" "iptables -P FORWARD DROP" eingegeben
3: Meine Regeln rein getan und eben noch den Befehl "-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT"
4: Danach mit iptables persistent gespeichert via "iptables-save > /etc/iptables/rules.v4"
Jetzt funktioniert alles wie es soll
Nur eins verstehe ich noch nicht, und zwar wenn ich "iptables -L" aufrufe kommt folgende Ausgabe:
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT udp -- anywhere anywhere udp dpt:openvpn
ACCEPT all -- 192.168.50.0/24 anywhere
ACCEPT tcp -- 192.168.60.0/24 anywhere tcp dpt:xxxx
Chain FORWARD (policy DROP)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
Schau ich mir jetzt aber die Datei "rules.v4" mit nano an sehe ich folgendes, bzw. viel mehr:
:INPUT DROP [6:1502]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m udp --dport 1194 -j ACCEPT
-A INPUT -s 192.168.50.0/24 -j ACCEPT
-A INPUT -s 192.168.60.0/24 -p tcp -m tcp --dport xxxx -j ACCEPT
-A OUTPUT -j ACCEPT
COMMIT
:PREROUTING ACCEPT [602:33074]
:INPUT ACCEPT [48:4172]
:OUTPUT ACCEPT [37:2554]
:POSTROUTING ACCEPT [37:2554]
COMMIT
:PREROUTING ACCEPT [4614:717256]
:INPUT ACCEPT [4066:689856]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [4271:2062028]
:POSTROUTING ACCEPT [4271:2062028]
COMMIT
Was heißt der obere Part wie z.B. INPUT DROP (6:1502)?
Muss ich hier noch irgendwas verändern?
Danke und viele Grüße
vielen Dank für die Hilfe.
Ich hab jetzt einfach folgendes gemacht:
1: Die iptable mit "iptables --flush" gelöscht
2: Die drei Befehle "iptables -P OUTPUT ACCEPT" "iptables -P INPUT DROP" "iptables -P FORWARD DROP" eingegeben
3: Meine Regeln rein getan und eben noch den Befehl "-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT"
4: Danach mit iptables persistent gespeichert via "iptables-save > /etc/iptables/rules.v4"
Jetzt funktioniert alles wie es soll
Nur eins verstehe ich noch nicht, und zwar wenn ich "iptables -L" aufrufe kommt folgende Ausgabe:
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT udp -- anywhere anywhere udp dpt:openvpn
ACCEPT all -- 192.168.50.0/24 anywhere
ACCEPT tcp -- 192.168.60.0/24 anywhere tcp dpt:xxxx
Chain FORWARD (policy DROP)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
Schau ich mir jetzt aber die Datei "rules.v4" mit nano an sehe ich folgendes, bzw. viel mehr:
- Generated by iptables-save v1.4.14 on Mon Jan 26 22:28:24 2015
:INPUT DROP [6:1502]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m udp --dport 1194 -j ACCEPT
-A INPUT -s 192.168.50.0/24 -j ACCEPT
-A INPUT -s 192.168.60.0/24 -p tcp -m tcp --dport xxxx -j ACCEPT
-A OUTPUT -j ACCEPT
COMMIT
- Completed on Mon Jan 26 22:28:24 2015
- Generated by iptables-save v1.4.14 on Mon Jan 26 22:28:24 2015
:PREROUTING ACCEPT [602:33074]
:INPUT ACCEPT [48:4172]
:OUTPUT ACCEPT [37:2554]
:POSTROUTING ACCEPT [37:2554]
COMMIT
- Completed on Mon Jan 26 22:28:24 2015
- Generated by iptables-save v1.4.14 on Mon Jan 26 22:28:24 2015
:PREROUTING ACCEPT [4614:717256]
:INPUT ACCEPT [4066:689856]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [4271:2062028]
:POSTROUTING ACCEPT [4271:2062028]
COMMIT
- Completed on Mon Jan 26 22:28:24 2015
Was heißt der obere Part wie z.B. INPUT DROP (6:1502)?
Muss ich hier noch irgendwas verändern?
Danke und viele Grüße
Hallo,
ich hab noch ein kleines Problem wo ich aktuell schon länger nicht mehr weiterkommen.
Es geht um den Zugriff via FTP auf meinen VPN-Client.
Der VPN Client kennt die Route in mein Heimnetz und meine FritzBox auch die Route ins VPN-Netz.
Ich würde gerne per FTP (aus dem Heimnetz) auf den Client zugreifen, wobei der Client überhaupt nichts machen darf/soll außer einen Port im VPN-Netz zu erreichen.
Schalte ich die iptabels (INPUT, OUTPUT, FORWARD) alle auf "ACCEPT" funktioniert es wunderbar, nur darf halt der Client auch alles was ich eigentlich nicht möchte.
Ist das technisch möglich?
Danke!
Viele Grüße!
ich hab noch ein kleines Problem wo ich aktuell schon länger nicht mehr weiterkommen.
Es geht um den Zugriff via FTP auf meinen VPN-Client.
Der VPN Client kennt die Route in mein Heimnetz und meine FritzBox auch die Route ins VPN-Netz.
Ich würde gerne per FTP (aus dem Heimnetz) auf den Client zugreifen, wobei der Client überhaupt nichts machen darf/soll außer einen Port im VPN-Netz zu erreichen.
Schalte ich die iptabels (INPUT, OUTPUT, FORWARD) alle auf "ACCEPT" funktioniert es wunderbar, nur darf halt der Client auch alles was ich eigentlich nicht möchte.
Ist das technisch möglich?
Danke!
Viele Grüße!
