Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Debian Iptables kein Ping und DNS nach außen möglich

Frage Linux Linux Netzwerk

Mitglied: Zuendapp

Zuendapp (Level 1) - Jetzt verbinden

25.01.2015, aktualisiert 11.02.2015, 1618 Aufrufe, 5 Kommentare

Hallo Zusammen,

ich habe ein kleines Problem mit meinem Debian Rechner/Server und den iptables.
Da ich mir aus dem Administrator Forum schon viele gute Tipps geholt habe, hab ich mich jetzt auch endlich mal registriert und wollte mal nachfragen an was es liegt.

Nun zu meiner Problemstellung....

Ich habe einen Debian Rechner auf dem eine Anwendung auf einem speziellen tcp Port läuft.
Ich habe nun für den Zugriff von außen Open VPN installiert, das funktioniert auch so hervorragend.
Die entfernten Rechner sollen aber nur auf diesen einen Port Zugriff haben und sonst nichts.
Mein lokales Netz ist (192.168.50.0/24) und mein Open VPN Netz ist das (192.168.60.0/24).
Jetzt hab ich mir gedacht, dass ich eine Iptable Rule auf dem Rechner anlege und alles aus meinem lokalen Netz erlaube.
Für das Open VPN Netz erlaube ich nur den einen Port und der Rest wird gedropt.

Wenn ich die Regel jetzt aktiviere dann funktioniert nicht mal mehr auf dem Debian Rechner ein Ping nach außen bzw. auch kein Zugriff zum Internet wie mit (apt-get install) o.ä..

Hier meine Regel:


*filter

-A INPUT -p udp -s 192.168.50.0/24 -j ACCEPT
-A INPUT -p tcp -s 192.168.50.0/24 -j ACCEPT
-A INPUT -p tcp -s 192.168.60.0/24 --dport xxxx -j ACCEPT
-A INPUT -p udp --dport 1194 -j ACCEPT # OPENVPN PORT
-A INPUT -j DROP

COMMIT


Ausgehenden habe ich eigentlich ja alles erlaubt.



Was mir noch aufgefallen ist, aber wahrscheinlich nichts zur Ursache helfen wird ist, dass wenn ich mit "ifconfig" die Netzwerkkonfig des Open VPN tun1 Interfaces aufrufe folgendes drinsteht:

inet Adresse:192.168.60.1 P-z-P:192.168.60.2 Maske:255.255.255.255


Ich hab aber in der OpenVPN Konfig ein /24 Netz angegeben.



Vielleicht habt ihr ja einen Tipp für mich.


Vielen Dank und einen schönen Sonntag noch.


Gruß!
Mitglied: Dani
25.01.2015 um 13:34 Uhr
Moin,
Ausgehenden habe ich eigentlich ja alles erlaubt.
Mit wecher Regel?

Ich mache grundsätzlich folgendes:
01.
#Alle vorhandenen Regeln loeschen 
02.
iptables -F 
03.
iptables -t nat -F 
04.
iptables -t mangle -F 
05.
iptables -X 
06.
iptables -t nat -X 
07.
iptables -t mangle -X 
08.
 
09.
#Grundregeln 
10.
iptables -P OUTPUT  ACCEPT 
11.
iptables -P INPUT   DROP 
12.
iptables -P FORWARD DROP
Danach kommt dann das spezifische Regelwerk, zum Beispiel:
01.
iptables -A OUTPUT -p ALL -j ACCEPT
Gruß,
Dani
Bitte warten ..
Mitglied: Lochkartenstanzer
25.01.2015, aktualisiert um 15:12 Uhr
Moin,

Und was sagt ein sudo iptables -L

lks
Bitte warten ..
Mitglied: LordGurke
LÖSUNG 25.01.2015, aktualisiert 11.02.2015
Dir fehlt eine Regel (vor dem DROP), die eingehende Antwortpakete erlaubt:

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


Sonst werden ja alle Ping-Antworten, die nicht aus den bereits erlaubten Netzen kommen, allesamt verworfen.
Bitte warten ..
Mitglied: Zuendapp
26.01.2015 um 22:40 Uhr
Hi,

vielen Dank für die Hilfe.

Ich hab jetzt einfach folgendes gemacht:

1: Die iptable mit "iptables --flush" gelöscht
2: Die drei Befehle "iptables -P OUTPUT ACCEPT" "iptables -P INPUT DROP" "iptables -P FORWARD DROP" eingegeben
3: Meine Regeln rein getan und eben noch den Befehl "-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT"
4: Danach mit iptables persistent gespeichert via "iptables-save > /etc/iptables/rules.v4"

Jetzt funktioniert alles wie es soll

Nur eins verstehe ich noch nicht, und zwar wenn ich "iptables -L" aufrufe kommt folgende Ausgabe:

Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT udp -- anywhere anywhere udp dpt:openvpn
ACCEPT all -- 192.168.50.0/24 anywhere
ACCEPT tcp -- 192.168.60.0/24 anywhere tcp dpt:xxxx

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere



Schau ich mir jetzt aber die Datei "rules.v4" mit nano an sehe ich folgendes, bzw. viel mehr:


  1. Generated by iptables-save v1.4.14 on Mon Jan 26 22:28:24 2015
*filter
:INPUT DROP [6:1502]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m udp --dport 1194 -j ACCEPT
-A INPUT -s 192.168.50.0/24 -j ACCEPT
-A INPUT -s 192.168.60.0/24 -p tcp -m tcp --dport xxxx -j ACCEPT
-A OUTPUT -j ACCEPT
COMMIT
  1. Completed on Mon Jan 26 22:28:24 2015
  2. Generated by iptables-save v1.4.14 on Mon Jan 26 22:28:24 2015
*nat
:PREROUTING ACCEPT [602:33074]
:INPUT ACCEPT [48:4172]
:OUTPUT ACCEPT [37:2554]
:POSTROUTING ACCEPT [37:2554]
COMMIT
  1. Completed on Mon Jan 26 22:28:24 2015
  2. Generated by iptables-save v1.4.14 on Mon Jan 26 22:28:24 2015
*mangle
:PREROUTING ACCEPT [4614:717256]
:INPUT ACCEPT [4066:689856]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [4271:2062028]
:POSTROUTING ACCEPT [4271:2062028]
COMMIT
  1. Completed on Mon Jan 26 22:28:24 2015





Was heißt der obere Part wie z.B. INPUT DROP (6:1502)?
Muss ich hier noch irgendwas verändern?


Danke und viele Grüße
Bitte warten ..
Mitglied: Zuendapp
11.02.2015 um 18:49 Uhr
Hallo,

ich hab noch ein kleines Problem wo ich aktuell schon länger nicht mehr weiterkommen.

Es geht um den Zugriff via FTP auf meinen VPN-Client.
Der VPN Client kennt die Route in mein Heimnetz und meine FritzBox auch die Route ins VPN-Netz.
Ich würde gerne per FTP (aus dem Heimnetz) auf den Client zugreifen, wobei der Client überhaupt nichts machen darf/soll außer einen Port im VPN-Netz zu erreichen.
Schalte ich die iptabels (INPUT, OUTPUT, FORWARD) alle auf "ACCEPT" funktioniert es wunderbar, nur darf halt der Client auch alles was ich eigentlich nicht möchte.

Ist das technisch möglich?

Danke!

Viele Grüße!
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(1)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Exchange Server
Exchange 365. Kein Reverse DNS möglich? (24)

Frage von MyApps2GO.de zum Thema Exchange Server ...

Netzwerkgrundlagen
gelöst Ping im gleichen Rechnernetz ohne Gateway möglich? (8)

Frage von CHRISTI4N zum Thema Netzwerkgrundlagen ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...