Debian Iptables kein Ping und DNS nach außen möglich
Hallo Zusammen,
ich habe ein kleines Problem mit meinem Debian Rechner/Server und den iptables.
Da ich mir aus dem Administrator Forum schon viele gute Tipps geholt habe, hab ich mich jetzt auch endlich mal registriert und wollte mal nachfragen an was es liegt.
Nun zu meiner Problemstellung....
Ich habe einen Debian Rechner auf dem eine Anwendung auf einem speziellen tcp Port läuft.
Ich habe nun für den Zugriff von außen Open VPN installiert, das funktioniert auch so hervorragend.
Die entfernten Rechner sollen aber nur auf diesen einen Port Zugriff haben und sonst nichts.
Mein lokales Netz ist (192.168.50.0/24) und mein Open VPN Netz ist das (192.168.60.0/24).
Jetzt hab ich mir gedacht, dass ich eine Iptable Rule auf dem Rechner anlege und alles aus meinem lokalen Netz erlaube.
Für das Open VPN Netz erlaube ich nur den einen Port und der Rest wird gedropt.
Wenn ich die Regel jetzt aktiviere dann funktioniert nicht mal mehr auf dem Debian Rechner ein Ping nach außen bzw. auch kein Zugriff zum Internet wie mit (apt-get install) o.ä..
Hier meine Regel:
*filter
-A INPUT -p udp -s 192.168.50.0/24 -j ACCEPT
-A INPUT -p tcp -s 192.168.50.0/24 -j ACCEPT
-A INPUT -p tcp -s 192.168.60.0/24 --dport xxxx -j ACCEPT
-A INPUT -p udp --dport 1194 -j ACCEPT # OPENVPN PORT
-A INPUT -j DROP
COMMIT
Ausgehenden habe ich eigentlich ja alles erlaubt.
Was mir noch aufgefallen ist, aber wahrscheinlich nichts zur Ursache helfen wird ist, dass wenn ich mit "ifconfig" die Netzwerkkonfig des Open VPN tun1 Interfaces aufrufe folgendes drinsteht:
inet Adresse:192.168.60.1 P-z-P:192.168.60.2 Maske:255.255.255.255
Ich hab aber in der OpenVPN Konfig ein /24 Netz angegeben.
Vielleicht habt ihr ja einen Tipp für mich.
Vielen Dank und einen schönen Sonntag noch.
Gruß!
ich habe ein kleines Problem mit meinem Debian Rechner/Server und den iptables.
Da ich mir aus dem Administrator Forum schon viele gute Tipps geholt habe, hab ich mich jetzt auch endlich mal registriert und wollte mal nachfragen an was es liegt.
Nun zu meiner Problemstellung....
Ich habe einen Debian Rechner auf dem eine Anwendung auf einem speziellen tcp Port läuft.
Ich habe nun für den Zugriff von außen Open VPN installiert, das funktioniert auch so hervorragend.
Die entfernten Rechner sollen aber nur auf diesen einen Port Zugriff haben und sonst nichts.
Mein lokales Netz ist (192.168.50.0/24) und mein Open VPN Netz ist das (192.168.60.0/24).
Jetzt hab ich mir gedacht, dass ich eine Iptable Rule auf dem Rechner anlege und alles aus meinem lokalen Netz erlaube.
Für das Open VPN Netz erlaube ich nur den einen Port und der Rest wird gedropt.
Wenn ich die Regel jetzt aktiviere dann funktioniert nicht mal mehr auf dem Debian Rechner ein Ping nach außen bzw. auch kein Zugriff zum Internet wie mit (apt-get install) o.ä..
Hier meine Regel:
*filter
-A INPUT -p udp -s 192.168.50.0/24 -j ACCEPT
-A INPUT -p tcp -s 192.168.50.0/24 -j ACCEPT
-A INPUT -p tcp -s 192.168.60.0/24 --dport xxxx -j ACCEPT
-A INPUT -p udp --dport 1194 -j ACCEPT # OPENVPN PORT
-A INPUT -j DROP
COMMIT
Ausgehenden habe ich eigentlich ja alles erlaubt.
Was mir noch aufgefallen ist, aber wahrscheinlich nichts zur Ursache helfen wird ist, dass wenn ich mit "ifconfig" die Netzwerkkonfig des Open VPN tun1 Interfaces aufrufe folgendes drinsteht:
inet Adresse:192.168.60.1 P-z-P:192.168.60.2 Maske:255.255.255.255
Ich hab aber in der OpenVPN Konfig ein /24 Netz angegeben.
Vielleicht habt ihr ja einen Tipp für mich.
Vielen Dank und einen schönen Sonntag noch.
Gruß!
Please also mark the comments that contributed to the solution of the article
Content-Key: 261119
Url: https://administrator.de/contentid/261119
Printed on: April 24, 2024 at 09:04 o'clock
5 Comments
Latest comment
Moin,
Ich mache grundsätzlich folgendes:
Danach kommt dann das spezifische Regelwerk, zum Beispiel:
Gruß,
Dani
Ausgehenden habe ich eigentlich ja alles erlaubt.
Mit wecher Regel?Ich mache grundsätzlich folgendes:
#Alle vorhandenen Regeln loeschen
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X
#Grundregeln
iptables -P OUTPUT ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -A OUTPUT -p ALL -j ACCEPT
Gruß,
Dani