• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

meine aktuelle firewall! Was sagt das aus??

framp

Moderator
Teammitglied
Also ich halte meine Rules immer sauber und habe da keinen alten Kram drin. Ordnung ist das halbe Leben - und macht das leichter und sicherer speziell bei FW Rules.

Ich habe das Gefuehl, dass Du Dich nicht sehr mit den FW Rules auskennst und finde es schon sehr mutig von Dir einen lokalen WebServer ohne DMZ ins Netz zu stellen...

Du willst also nur Deinen Fehler weghaben. Wenn der durch das o.g. Script erzeugt wird muss da wohl ein Problem beim ermitteln der LAN_IP existieren. Das ist die einzige Variable im Script. Sonst taucht kein '1500' darin auf.
Rufe das Script mal manuell auf ob der Fehler auch dort auftritt. Wenn ja bring mal nach
Code:
 LAN_IP=$(ifconfig eth0 | head -n 2 | tail -n 1 | cut -d: -f2 | cut -d" " -f 1)
eine Zeile mit
Code:
echo "***************" $LAN_IP "*****************"
rein.
Dann solltest Du sehen wie die IP ist.
Ich mache das uebrigens so:
Code:
IP="`$IFCONFIG $IF 2>/dev/null|$AWK '/inet addr:/ {print $2}'|$SED 's/addr://'`"
 
A

Anonymous

Gast
framp schrieb:
Ordnung ist das halbe Leben - und macht das leichter und sicherer speziell bei FW Rules.
richtig, absolut! Mit Iptables sollte man auf keinen Fall Blödsinn bauen, das kann böse enden!!!
framp schrieb:
Ich habe das Gefuehl, dass Du Dich nicht sehr mit den FW Rules auskennst und finde es schon sehr mutig von Dir einen lokalen WebServer ohne DMZ ins Netz zu stellen...
schon wieder richtig, wenn man keine Ahnung davon hat, besser Finger weglassen, ansonsten bietet man ein offenes Ziel. Hier mal Lektüre, die du dir unbedingt mal angucken solltest rattle, ein einfaches rumtesten und rumspielen mit iptables ist ein sehr schwerwiegender Fehler
http://www.pl-forum.de/t_netzwerk/iptables.html
 

rattle

Newbie
Danke euch. Wie ich schon am Anfang mal sagte, kenn ich mich da nicht ganz so gut aus. Beschäftige mich ja auch nicht den ganzen Tag damit. Die Iptables sind ja auch nicht von mir. Habe sie nur auf mich angepasst.
Fehlermeldung beim booten kommt trotzdem. Wenn ich jetzt über Putty rcfirewall stop/start eingeben kommt komischerweise das hier:

linux:~ # rcfirewall stop
Stoppe IP-Paketfilter
Deaktiviere IP-Routing
Stoppe IP-Paketfilter
Deaktiviere IP-Routing
linux:~ # rcfirewall start
Starte IP-Paketfilter
*************** 192.168.0.10 ***************
Starte IP-Paketfilter

Also alles doppelt.

Edit: So jetzt mal ganz spektakulär. Habe meine alte Iptables von vorherigen Jahr genommen. Die ist so ziemlich im Ursprungszustand. Da kommt genau diesselbe Fehlermeldung. Dürfte aber gar nicht sein da diese ja unbehandelt ist.

Edit2: So habe jetzt nochmal meine original iptables mit meiner jetzigen verglichen. Da ist mir aufgefallen das am Ende des Scripts unter esac das Script zu Hälfte noch einmal wiederholt hatte. Habe ich jetzt bereinigt und jetzt kommt die Fehlermeldung Bad IP Adress 1500 "nur" noch 6x statt wie vorher 16x. Und die doppelte Meldung ist auch weg.
 

framp

Moderator
Teammitglied
Die IP ist OK.

Dann bring mal folgende zwei Zeilen an den Anfang des Scripts:

Code:
set -o xtrace
set -o verbose

Dann siehst Du sehr genau was da angeht. Vielleicht hilft das weiter.
 

rattle

Newbie
So, Problem scheint behoben. Mir ist gestern die Platte abgeraucht, war auch lange überfällig, 99er Baujahr. Hatte zum Glück noch eine rumliegen.
Habe jetzt Linux neuinstalliert. Gab erst paar Probleme mit einer der beiden Netzwerkkarten. Habe jetzt ne alte 10Mbit drin. Seltsam das er die Karte nicht erkannt hat, ist ja dieselbe wie vorher. Naja egal.
Soweit scheint aber alles zu passen. Iptables funktioniert scheinbar auch. Kriege diese Fehlermeldung beim booten nicht mehr. Dafür steht aber auch kein "allow" hinter Starting Paketfilter. das "Feld" bleibt leer, dafür piept es einmal. Geladen wird der Filter allerdings, kann in ein/ausschalten und Windowssoftware reagiert auch dementsprechend.
 

framp

Moderator
Teammitglied
Hm ... ich wuerde mich nicht ins Netz trauen wenn ich nicht genau weiss was meine FW blocked und was nicht...
https://www.grc.com oder noch besser ein 'nmap' von einem Kumpel solltest Du wenigstens mal anstossen um zu sehen was denn da so extern bei Dir offen ist.
 

rattle

Newbie
Jupp, alles schon gemacht. Shield Up ist bei mir Anlaufstelle Nr.1 oder http://www.port-scan.de/.

Alles funktioniert reibungslos wenn ich z. b Port 80 auskommentiere ist der auch dicht.

Mir ist mal eben aufgefallen das bei meiner jetzigen Suse Installation beim booten, die Iptables nach den Netzwerkarten geladen wird, nicht wie vorher. Da wurde zuerst der Paketfilter geladen und dann die Devices. Ausserdem schaltet Suse bei mir jetzt nicht in Runlevel 5 sondern 3, beim booten.
Jedenfalls funktioniert alles wieder tadellos.
 
Oben