Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Debian Iptables kein Ping und DNS nach außen möglich

Mitglied: Zuendapp

Zuendapp (Level 1) - Jetzt verbinden

25.01.2015, aktualisiert 11.02.2015, 1869 Aufrufe, 5 Kommentare

Hallo Zusammen,

ich habe ein kleines Problem mit meinem Debian Rechner/Server und den iptables.
Da ich mir aus dem Administrator Forum schon viele gute Tipps geholt habe, hab ich mich jetzt auch endlich mal registriert und wollte mal nachfragen an was es liegt.

Nun zu meiner Problemstellung....

Ich habe einen Debian Rechner auf dem eine Anwendung auf einem speziellen tcp Port läuft.
Ich habe nun für den Zugriff von außen Open VPN installiert, das funktioniert auch so hervorragend.
Die entfernten Rechner sollen aber nur auf diesen einen Port Zugriff haben und sonst nichts.
Mein lokales Netz ist (192.168.50.0/24) und mein Open VPN Netz ist das (192.168.60.0/24).
Jetzt hab ich mir gedacht, dass ich eine Iptable Rule auf dem Rechner anlege und alles aus meinem lokalen Netz erlaube.
Für das Open VPN Netz erlaube ich nur den einen Port und der Rest wird gedropt.

Wenn ich die Regel jetzt aktiviere dann funktioniert nicht mal mehr auf dem Debian Rechner ein Ping nach außen bzw. auch kein Zugriff zum Internet wie mit (apt-get install) o.ä..

Hier meine Regel:


*filter

-A INPUT -p udp -s 192.168.50.0/24 -j ACCEPT
-A INPUT -p tcp -s 192.168.50.0/24 -j ACCEPT
-A INPUT -p tcp -s 192.168.60.0/24 --dport xxxx -j ACCEPT
-A INPUT -p udp --dport 1194 -j ACCEPT # OPENVPN PORT
-A INPUT -j DROP

COMMIT


Ausgehenden habe ich eigentlich ja alles erlaubt.



Was mir noch aufgefallen ist, aber wahrscheinlich nichts zur Ursache helfen wird ist, dass wenn ich mit "ifconfig" die Netzwerkkonfig des Open VPN tun1 Interfaces aufrufe folgendes drinsteht:

inet Adresse:192.168.60.1 P-z-P:192.168.60.2 Maske:255.255.255.255


Ich hab aber in der OpenVPN Konfig ein /24 Netz angegeben.



Vielleicht habt ihr ja einen Tipp für mich.


Vielen Dank und einen schönen Sonntag noch.


Gruß!
Mitglied: Dani
25.01.2015 um 13:34 Uhr
Moin,
Ausgehenden habe ich eigentlich ja alles erlaubt.
Mit wecher Regel?

Ich mache grundsätzlich folgendes:
01.
#Alle vorhandenen Regeln loeschen 
02.
iptables -F 
03.
iptables -t nat -F 
04.
iptables -t mangle -F 
05.
iptables -X 
06.
iptables -t nat -X 
07.
iptables -t mangle -X 
08.
 
09.
#Grundregeln 
10.
iptables -P OUTPUT  ACCEPT 
11.
iptables -P INPUT   DROP 
12.
iptables -P FORWARD DROP
Danach kommt dann das spezifische Regelwerk, zum Beispiel:
01.
iptables -A OUTPUT -p ALL -j ACCEPT
Gruß,
Dani
Bitte warten ..
Mitglied: Lochkartenstanzer
25.01.2015, aktualisiert um 15:12 Uhr
Moin,

Und was sagt ein sudo iptables -L

lks
Bitte warten ..
Mitglied: LordGurke
LÖSUNG 25.01.2015, aktualisiert 11.02.2015
Dir fehlt eine Regel (vor dem DROP), die eingehende Antwortpakete erlaubt:

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


Sonst werden ja alle Ping-Antworten, die nicht aus den bereits erlaubten Netzen kommen, allesamt verworfen.
Bitte warten ..
Mitglied: Zuendapp
26.01.2015 um 22:40 Uhr
Hi,

vielen Dank für die Hilfe.

Ich hab jetzt einfach folgendes gemacht:

1: Die iptable mit "iptables --flush" gelöscht
2: Die drei Befehle "iptables -P OUTPUT ACCEPT" "iptables -P INPUT DROP" "iptables -P FORWARD DROP" eingegeben
3: Meine Regeln rein getan und eben noch den Befehl "-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT"
4: Danach mit iptables persistent gespeichert via "iptables-save > /etc/iptables/rules.v4"

Jetzt funktioniert alles wie es soll

Nur eins verstehe ich noch nicht, und zwar wenn ich "iptables -L" aufrufe kommt folgende Ausgabe:

Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT udp -- anywhere anywhere udp dpt:openvpn
ACCEPT all -- 192.168.50.0/24 anywhere
ACCEPT tcp -- 192.168.60.0/24 anywhere tcp dpt:xxxx

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere



Schau ich mir jetzt aber die Datei "rules.v4" mit nano an sehe ich folgendes, bzw. viel mehr:


  1. Generated by iptables-save v1.4.14 on Mon Jan 26 22:28:24 2015
*filter
:INPUT DROP [6:1502]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m udp --dport 1194 -j ACCEPT
-A INPUT -s 192.168.50.0/24 -j ACCEPT
-A INPUT -s 192.168.60.0/24 -p tcp -m tcp --dport xxxx -j ACCEPT
-A OUTPUT -j ACCEPT
COMMIT
  1. Completed on Mon Jan 26 22:28:24 2015
  2. Generated by iptables-save v1.4.14 on Mon Jan 26 22:28:24 2015
*nat
:PREROUTING ACCEPT [602:33074]
:INPUT ACCEPT [48:4172]
:OUTPUT ACCEPT [37:2554]
:POSTROUTING ACCEPT [37:2554]
COMMIT
  1. Completed on Mon Jan 26 22:28:24 2015
  2. Generated by iptables-save v1.4.14 on Mon Jan 26 22:28:24 2015
*mangle
:PREROUTING ACCEPT [4614:717256]
:INPUT ACCEPT [4066:689856]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [4271:2062028]
:POSTROUTING ACCEPT [4271:2062028]
COMMIT
  1. Completed on Mon Jan 26 22:28:24 2015





Was heißt der obere Part wie z.B. INPUT DROP (6:1502)?
Muss ich hier noch irgendwas verändern?


Danke und viele Grüße
Bitte warten ..
Mitglied: Zuendapp
11.02.2015 um 18:49 Uhr
Hallo,

ich hab noch ein kleines Problem wo ich aktuell schon länger nicht mehr weiterkommen.

Es geht um den Zugriff via FTP auf meinen VPN-Client.
Der VPN Client kennt die Route in mein Heimnetz und meine FritzBox auch die Route ins VPN-Netz.
Ich würde gerne per FTP (aus dem Heimnetz) auf den Client zugreifen, wobei der Client überhaupt nichts machen darf/soll außer einen Port im VPN-Netz zu erreichen.
Schalte ich die iptabels (INPUT, OUTPUT, FORWARD) alle auf "ACCEPT" funktioniert es wunderbar, nur darf halt der Client auch alles was ich eigentlich nicht möchte.

Ist das technisch möglich?

Danke!

Viele Grüße!
Bitte warten ..
Ähnliche Inhalte
DSL, VDSL

Kein Zugriff von außen mehr möglich. Kein Ping möglich. Speedport W724V

Frage von matsmatsDSL, VDSL2 Kommentare

Hallo liebe Community, ich stehe gerade vor einem - für mich - unlösbaren Problem. Ich habe bei einem Freund ...

Debian

Debian Jessie - DNS-Problem

gelöst Frage von FA-jkaDebian2 Kommentare

Mein Jessie ärgert mich: Warum kann ich den Domaincontroller (dc.ia.local / 10.10.10.1) nicht über seinen voll qualifizierten Namen anpingen? ...

Windows Netzwerk

Wie DNS Einträge löschen außer durch flushdns

gelöst Frage von f.reisenhauerWindows Netzwerk16 Kommentare

Hallo Community, Ich habe aktuell ein Problem mit meinem Heimrechner. Ich nutze einen Windows 10 64x Rechner. Mein Problem ...

Netzwerkgrundlagen

Ping nur in eine Richtung möglich

Frage von macar7Netzwerkgrundlagen9 Kommentare

Hallo, ich bin neu hier im Forum und hab gleich eine Frage. Kurz zu meiner Person: Ich bin Mitte ...

Neue Wissensbeiträge
Windows 10
Zero-Day-Lücke in Microsoft Edge
Information von kgborn vor 1 TagWindows 10

In Microsofts Edge-Browser klafft wohl eine nicht geschlossene (0-Day) Sicherheitslücke im Just In Time Compiler (JIT Compiler) für Javascript. ...

Sicherheit
Microsoft und Skype: Sicherheit
Information von kgborn vor 1 TagSicherheit

Die Tage gab es ja einige Berichte zur Sicherheit des Skype-Updaters. Der Updater von Skype läuft unter dem Konto ...

Datenschutz

Behörden ignorieren Sicherheitsbedenken gegenüber Windows 10

Information von Penny.Cilin vor 2 TagenDatenschutz8 Kommentare

Hallo, passend zum Thema Ablösung LIMUX in München ein Beitrag bei Heise (siehe Link folgend). Behörden ignorieren Sicherheitsbedenken gegenüber ...

Sicherheit
Information Security Hub Munich airport
Information von brammer vor 2 TagenSicherheit

Hallo, Neues Center für Cyber Kriminalität am Münchener Flughafen brammer

Heiß diskutierte Inhalte
DSL, VDSL
Mindestgeschwindigkeiten DSL Telekom
Frage von justlukasDSL, VDSL13 Kommentare

Hallo zusammen, Seit diesem Jahr habe ich Verständnisprobleme mit dem Verhalten der Telekom. Wir haben seit einem Jahr VDSL ...

Switche und Hubs
LANCOM-Switch: Probleme (no link) mit SFP-Modulen?
Frage von THETOBSwitche und Hubs10 Kommentare

Hi zusammen, ich habe folgendes Problem: Und zwar habe ich an einem Standort drei Switche verbaut - LANCOM GS-2326P+, ...

Debian
Wie finde ich den betroffenen user
Frage von ProtectedDebian8 Kommentare

Hallo, Wie kann ich den User finden der dies verursacht hat? Betriebsystem ist Debian 7 your Server/Customer with the ...

Firewall
RB2011 Firewall Rule eine bestimmte Mac oder IP Adresse nicht zu blockieren
Frage von lightmanFirewall8 Kommentare

Hallo liebes Forum mit ihren Spezialisten. Ich habe meine Firewall so konfiguriert das kein Endgerät ohne meine Speziellen Erlaubnis ...