Diese Website existiert nur weil wir Werbung mit AdSense ausliefern.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.

turtlefirewall grosses configprob

Alles rund um das Internet, Internet-Anwendungen (E-Mail, Surfen, Cloud usw.) und das Einrichten von Netzwerken einschl. VPN unter Linux

Moderator: Moderatoren

Benutzeravatar
EvilSnoop
Member
Member
Beiträge: 52
Registriert: 25. Feb 2004, 15:16

turtlefirewall grosses configprob

Beitrag von EvilSnoop »

hi

also ich sitz hier an meiner suse 9.0 kiste und möchte gerne das vaddern, der einen stock höher mit ner windows xp kiste sitzt, auch online gehen kann
alles ganz easy muss man ja nur ipweiterleitung akrivieren und nen bisschen die firewall einstellen
das hab ich mir schon vor wochen gedacht und bin immernoch nich am ziel
das routen geht zwar, aber nur wenn irgendwas anderes dafür nich geht (hab tausende an susefirewall2 configs getestet, bestimmt auch zweitausendmal ne eigene geschrieben, mindestens dreitausend howtos gelesen und auch schon versucht nen eigenes modul mit iptables befehlen zu schreiben)

jetz bin ich fast am ziel, ich hab webmin und turtlefirewall draufgemacht, dns server aufgesetzt, die turtlefirewall eingestellt, routing aktiviert nur komischerweise is irgendwie mein ganzes LAN geblockt (ping, ftp, alles geblockt wenn die fw an is)

"ping: sendmsg: Operation not permitted"

hab zwischenzeitig alle services zwischen allen netzen in den rules auf accept gesetzt, und trotzdem kann ich nich pingen etc., gibts das ?
ich bin am ende und kann kein bisschen mehr klar denken, das muss doch gehen ?
die firewall module die bei webmin dabei waren hab ich auch schon gelöscht weil ich dachte das die vll irgendwie dazwischenpfuschen, geht aber trotzdem nich

also wenn ihr mir helfen könnt bin ich euch tausendmal dankbar

greetz

snoop
"It´s Quality, NOT Quantity."
OS: SuSE 9.3 @ Kernel 2.6.11 (default)
WM: KDE 3.2.2
CPU: Athlon XP 1600+
RAM: 512 MB DDR
Snubnose
Hacker
Hacker
Beiträge: 410
Registriert: 18. Feb 2004, 19:19
Wohnort: Schwabenland

Beitrag von Snubnose »

also eigentlich sollte das richtig easy sein, du brauchst nur eine regel die alles accepted....
und dann musst du noch das forwarden aktivieren

und dann poste mal hier die ip regeln die von der firewall erstellt werden
Benutzeravatar
EvilSnoop
Member
Member
Beiträge: 52
Registriert: 25. Feb 2004, 15:16

Beitrag von EvilSnoop »

also das kommt von der turtlefirewall
Turtle Firewall 1.27
Copyright 2001-2003 FriWeb snc - www.friweb.com (GPL)

rp_filter: off
log_martians: on
drop_unclean: off
drop_invalid_state: on
drop_invalid_all: on
drop_invalid_none: on
drop_invalid_fin_notack: on
drop_invalid_sys_fin: on
drop_invalid_syn_rst: on
drop_invalid_fragment: on
ip_conntrack_max: 8192
log_limit: 60
log_limit_burst: 5
MASQUERADE to zone modem
MASQUERADE to zone lan
ALLOW all FIREWALL --> lan
ALLOW all FIREWALL --> modem
ALLOW tcp(4662) FIREWALL --> lan
ALLOW tcp(4662) FIREWALL --> modem
ALLOW udp(4665) FIREWALL --> lan
ALLOW udp(4665) FIREWALL --> modem
ALLOW udp(4665) lan --> FIREWALL
ALLOW udp(4665) modem --> FIREWALL
ALLOW tcp(4661) lan --> FIREWALL
ALLOW tcp(4661) modem --> FIREWALL
ALLOW tcp(4662) lan --> FIREWALL
ALLOW tcp(4662) modem --> FIREWALL
ALLOW tcp(80) lan --> FIREWALL
ALLOW tcp(80) modem --> FIREWALL
ALLOW tcp(25) lan --> FIREWALL
ALLOW tcp(25) modem --> FIREWALL
ALLOW tcp(21) lan --> FIREWALL
ALLOW tcp(21) modem --> FIREWALL
DENY any other connections
ALLOW all FIREWALL --> lan
das all bedeutet alle services(falls du die fw nich hast) is so´ne voreinstellung mit allem von http server bis emule, ftp, iicmp etc.
"It´s Quality, NOT Quantity."
OS: SuSE 9.3 @ Kernel 2.6.11 (default)
WM: KDE 3.2.2
CPU: Athlon XP 1600+
RAM: 512 MB DDR
Snubnose
Hacker
Hacker
Beiträge: 410
Registriert: 18. Feb 2004, 19:19
Wohnort: Schwabenland

Beitrag von Snubnose »

und die
"Show iptable chains" ?

sowie
iptables --list
Snubnose
Hacker
Hacker
Beiträge: 410
Registriert: 18. Feb 2004, 19:19
Wohnort: Schwabenland

Beitrag von Snubnose »

ALLOW all FIREWALL --> lan
ALLOW all FIREWALL --> modem

^^ die umgekehrte regel fehlt
lan --> Firewall
Benutzeravatar
EvilSnoop
Member
Member
Beiträge: 52
Registriert: 25. Feb 2004, 15:16

Beitrag von EvilSnoop »

NAT

Chain PREROUTING (policy ACCEPT 271K packets, 14M bytes)
pkts bytes target prot opt in out source destination

Chain POSTROUTING (policy ACCEPT 6436 packets, 388K bytes)
pkts bytes target prot opt in out source destination
1224 73458 MASQUERADE all -- * ppp0 0.0.0.0/0 0.0.0.0/0
0 0 MASQUERADE all -- * eth1 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT 67265 packets, 4008K bytes)
pkts bytes target prot opt in out source destination


FILTERS

Chain INPUT (policy DROP 9 packets, 454 bytes)
pkts bytes target prot opt in out source destination
3194 285K ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
26388 2166K CHECK_INVALID all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 lan-FIREWALL all -- eth1 * 0.0.0.0/0 0.0.0.0/0
26385 2166K modem-FIREWALL all -- ppp0 * 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 CHECK_INVALID all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 lan-lan all -- eth1 eth1 0.0.0.0/0 0.0.0.0/0
0 0 lan-modem all -- eth1 ppp0 0.0.0.0/0 0.0.0.0/0
0 0 modem-lan all -- ppp0 eth1 0.0.0.0/0 0.0.0.0/0
0 0 modem-modem all -- ppp0 ppp0 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy DROP 1 packets, 58 bytes)
pkts bytes target prot opt in out source destination
3194 285K ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
31604 14M CHECK_INVALID all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 FIREWALL-lan all -- * eth1 0.0.0.0/0 0.0.0.0/0
31603 14M FIREWALL-modem all -- * ppp0 0.0.0.0/0 0.0.0.0/0

Chain BACK (20 references)
pkts bytes target prot opt in out source destination
24786 2086K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
1606 80387 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0

Chain CHECK_INVALID (3 references)
pkts bytes target prot opt in out source destination
1 76 INVALID all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
0 0 INVALID tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x3F
0 0 INVALID tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x00
0 0 INVALID tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x11/0x01
0 0 INVALID tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x03/0x03
0 0 INVALID tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x06
0 0 INVALID all -f * * 0.0.0.0/0 0.0.0.0/0
57991 16M RETURN all -- * * 0.0.0.0/0 0.0.0.0/0

Chain FIREWALL-lan (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:4662
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:4665
0 0 BACK udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:4665
0 0 BACK tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:4661
0 0 BACK tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:4662
0 0 BACK tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:80
0 0 BACK tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:25
0 0 BACK tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:21
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 1/min burst 5 LOG flags 0 level 4 prefix `TFW FIREWALL-lan:'
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

Chain FIREWALL-modem (1 references)
pkts bytes target prot opt in out source destination
31603 14M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:4662
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:4665
0 0 BACK udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:4665
0 0 BACK tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:4661
0 0 BACK tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:4662
0 0 BACK tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:80
0 0 BACK tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:25
0 0 BACK tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:21
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 1/min burst 5 LOG flags 0 level 4 prefix `TFW FIREWALL-modem:'
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

Chain ICMP-ACC (0 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 3
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 4
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 11
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 12
0 0 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0

Chain INVALID (7 references)
pkts bytes target prot opt in out source destination
1 76 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID limit: avg 1/min burst 5 LOG flags 0 level 4 prefix `TFW INVALID STATE:'
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x3F limit: avg 1/min burst 5 LOG flags 0 level 4 prefix `TFW INVALID ALL:'
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x00 limit: avg 1/min burst 5 LOG flags 0 level 4 prefix `TFW INVALID NONE:'
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x11/0x01 limit: avg 1/min burst 5 LOG flags 0 level 4 prefix `TFW INVALID FIN,!ACK:'
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x03/0x03 limit: avg 1/min burst 5 LOG flags 0 level 4 prefix `TFW INVALID SYN,FIN:'
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x06 limit: avg 1/min burst 5 LOG flags 0 level 4 prefix `TFW INVALID SYN,RST:'
0 0 LOG all -f * * 0.0.0.0/0 0.0.0.0/0 limit: avg 1/min burst 5 LOG flags 0 level 4 prefix `TFW INVALID fragment:'
1 76 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 1/min burst 5 LOG flags 0 level 4 prefix `TFW INVALID PACKET:'
1 76 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

Chain lan-FIREWALL (1 references)
pkts bytes target prot opt in out source destination
0 0 BACK all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 BACK icmp -- * * 0.0.0.0/0 0.0.0.0/0
0 0 BACK tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:4662
0 0 BACK udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:4665
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:4665
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:4661
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:4662
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:25
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 1/min burst 5 LOG flags 0 level 4 prefix `TFW lan-FIREWALL:'
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

Chain lan-lan (1 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 1/min burst 5 LOG flags 0 level 4 prefix `TFW lan-lan:'
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

Chain lan-modem (1 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 1/min burst 5 LOG flags 0 level 4 prefix `TFW lan-modem:'
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

Chain modem-FIREWALL (1 references)
pkts bytes target prot opt in out source destination
26383 2166K BACK all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 BACK icmp -- * * 0.0.0.0/0 0.0.0.0/0
8 392 BACK tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:4662
1 48 BACK udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:4665
589 28204 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:4665
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:4661
959 48947 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:4662
1 48 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:25
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
16 818 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 1/min burst 5 LOG flags 0 level 4 prefix `TFW modem-FIREWALL:'
48 2748 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

Chain modem-lan (1 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 1/min burst 5 LOG flags 0 level 4 prefix `TFW modem-lan:'
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

Chain modem-modem (1 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 1/min burst 5 LOG flags 0 level 4 prefix `TFW modem-modem:'
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
"It´s Quality, NOT Quantity."
OS: SuSE 9.3 @ Kernel 2.6.11 (default)
WM: KDE 3.2.2
CPU: Athlon XP 1600+
RAM: 512 MB DDR
Snubnose
Hacker
Hacker
Beiträge: 410
Registriert: 18. Feb 2004, 19:19
Wohnort: Schwabenland

Beitrag von Snubnose »

schau mal mein posting über deinem - ich muss jetzt weg - aber vielleicht tuts ja dann schon
Benutzeravatar
EvilSnoop
Member
Member
Beiträge: 52
Registriert: 25. Feb 2004, 15:16

Beitrag von EvilSnoop »

ich sag doch ich kann nichmehr klar denken :oops:
tausend dank :D
kann leider nich testen obs geht weil alle schlafen
ping localhost geht aber immernoch nich, gleich mal noch nen bisschen einstellen
"It´s Quality, NOT Quantity."
OS: SuSE 9.3 @ Kernel 2.6.11 (default)
WM: KDE 3.2.2
CPU: Athlon XP 1600+
RAM: 512 MB DDR
Benutzeravatar
EvilSnoop
Member
Member
Beiträge: 52
Registriert: 25. Feb 2004, 15:16

Beitrag von EvilSnoop »

hi nochmal
also ich habs eben mal getestet und es läuft immernoch genausowenig wie vorher

die cfg sieht mittlerweile so aus
ALLOW all FIREWALL --> lan
ALLOW all FIREWALL --> modem
ALLOW all lan --> FIREWALL
ALLOW icmp_all lan --> FIREWALL
sogar ping wird immernoch geblockt
ping: sendmsg: Operation not permitted

das is alles andere als logisch für mich
"It´s Quality, NOT Quantity."
OS: SuSE 9.3 @ Kernel 2.6.11 (default)
WM: KDE 3.2.2
CPU: Athlon XP 1600+
RAM: 512 MB DDR
Snubnose
Hacker
Hacker
Beiträge: 410
Registriert: 18. Feb 2004, 19:19
Wohnort: Schwabenland

Beitrag von Snubnose »

okay...
also probiers mal so
nur die 2 Regeln:

ALLOW all FIREWALL --> lan
ALLOW all lan -> FIREWALL
diese Regeln müssen ganz oben stehen

ist lan an das richtige device gebunden ?

pinge dann mal in deinem eigenen Netzwerk...
was sagen die Firewall-Logs ?
Benutzeravatar
EvilSnoop
Member
Member
Beiträge: 52
Registriert: 25. Feb 2004, 15:16

Beitrag von EvilSnoop »

ping im LAN geht nich, kommt immer operation not permittet
meine eigene ip bzw. localhost kommt garnix nach 2 minuten warten
in der firewall logs steht nix von icmp block, ka was das "operation not permittet" dann bedeutet :/
inet ip´s kann ich ohne probleme pingen

ruleset sieht so aus

1 FIREWALL => internet
2 lan => FIREWALL
3 FIREWALL => lan
4 internet => FIREWALL
5 modem => FIREWALL

-edit-

der ganze rest liegt auch immernoch lahm, das problem besteht also noch ;(
"It´s Quality, NOT Quantity."
OS: SuSE 9.3 @ Kernel 2.6.11 (default)
WM: KDE 3.2.2
CPU: Athlon XP 1600+
RAM: 512 MB DDR
Benutzeravatar
BlueTurtle
Member
Member
Beiträge: 157
Registriert: 13. Mär 2004, 17:22

Beitrag von BlueTurtle »

Tach die Herren,

das ist wohl das Problem der SuSE-Firewall: man stellt irgendwas ein und weiss hinterher nicht, was die Firewall eigentlich macht...

Weiter oben ist schon mal vorgeschlagen worden, die Ausgabe von "iptables -L" zu posten.
Daran kann man sehen, welche chains auch wirklich greifen - und wir könnten sehen, wo der Fehler liegt.

BT
Benutzeravatar
EvilSnoop
Member
Member
Beiträge: 52
Registriert: 25. Feb 2004, 15:16

Beitrag von EvilSnoop »

ich hab die susefirewall und alles andere was mit firewall zu tun hat schon längst von der platte geputzt
wenn ich die turtlefirewall ausmache sind alle iptable chains auch wirklich leer
die iptables -L ausgabe steht weiter oben schon, hier nochmal aktuell
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
CHECK_INVALID all -- anywhere anywhere
lan-FIREWALL all -- anywhere anywhere
modem-FIREWALL all -- anywhere anywhere

Chain FORWARD (policy DROP)
target prot opt source destination
CHECK_INVALID all -- anywhere anywhere
lan-lan all -- anywhere anywhere
lan-modem all -- anywhere anywhere
modem-lan all -- anywhere anywhere
modem-modem all -- anywhere anywhere

Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
CHECK_INVALID all -- anywhere anywhere
FIREWALL-lan all -- anywhere anywhere
FIREWALL-modem all -- anywhere anywhere

Chain BACK (14 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABL
ISHED
RETURN all -- anywhere anywhere

Chain CHECK_INVALID (3 references)
target prot opt source destination
INVALID all -- anywhere anywhere state INVALID
INVALID tcp -- anywhere anywhere tcp flags:FIN,SYN,RS
T,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG
INVALID tcp -- anywhere anywhere tcp flags:FIN,SYN,RS
T,PSH,ACK,URG/NONE
INVALID tcp -- anywhere anywhere tcp flags:FIN,ACK/FI
N
INVALID tcp -- anywhere anywhere tcp flags:FIN,SYN/FI
N,SYN
INVALID tcp -- anywhere anywhere tcp flags:SYN,RST/SY
N,RST
INVALID all -f anywhere anywhere
RETURN all -- anywhere anywhere

Chain FIREWALL-lan (1 references)
target prot opt source destination
BACK all -- anywhere anywhere
BACK icmp -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere
BACK all -- anywhere anywhere
BACK icmp -- anywhere anywhere
LOG all -- anywhere anywhere limit: avg 1/min bur
st 5 LOG level warning prefix `TFW FIREWALL-lan:'
DROP all -- anywhere anywhere

Chain FIREWALL-modem (1 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere
BACK all -- anywhere anywhere
BACK icmp -- anywhere anywhere
BACK all -- anywhere anywhere
BACK icmp -- anywhere anywhere
LOG all -- anywhere anywhere limit: avg 1/min bur
st 5 LOG level warning prefix `TFW FIREWALL-modem:'
DROP all -- anywhere anywhere

Chain ICMP-ACC (0 references)
target prot opt source destination
ACCEPT icmp -- anywhere anywhere icmp destination-unr
eachable
ACCEPT icmp -- anywhere anywhere icmp source-quench
ACCEPT icmp -- anywhere anywhere icmp time-exceeded
ACCEPT icmp -- anywhere anywhere icmp parameter-probl
em
RETURN all -- anywhere anywhere

Chain INVALID (7 references)
target prot opt source destination
LOG all -- anywhere anywhere state INVALID limit:
avg 1/min burst 5 LOG level warning prefix `TFW INVALID STATE:'
LOG tcp -- anywhere anywhere tcp flags:FIN,SYN,RS
T,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG limit: avg 1/min burst 5 LOG level warning
prefix `TFW INVALID ALL:'
LOG tcp -- anywhere anywhere tcp flags:FIN,SYN,RS
T,PSH,ACK,URG/NONE limit: avg 1/min burst 5 LOG level warning prefix `TFW INVALI
D NONE:'
LOG tcp -- anywhere anywhere tcp flags:FIN,ACK/FI
N limit: avg 1/min burst 5 LOG level warning prefix `TFW INVALID FIN,!ACK:'
LOG tcp -- anywhere anywhere tcp flags:FIN,SYN/FI
N,SYN limit: avg 1/min burst 5 LOG level warning prefix `TFW INVALID SYN,FIN:'
LOG tcp -- anywhere anywhere tcp flags:SYN,RST/SY
N,RST limit: avg 1/min burst 5 LOG level warning prefix `TFW INVALID SYN,RST:'
LOG all -f anywhere anywhere limit: avg 1/min bur
st 5 LOG level warning prefix `TFW INVALID fragment:'
LOG all -- anywhere anywhere limit: avg 1/min bur
st 5 LOG level warning prefix `TFW INVALID PACKET:'
DROP all -- anywhere anywhere

Chain lan-FIREWALL (1 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere
BACK all -- anywhere anywhere
BACK icmp -- anywhere anywhere
BACK all -- anywhere anywhere
BACK icmp -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere
LOG all -- anywhere anywhere limit: avg 1/min bur
st 5 LOG level warning prefix `TFW lan-FIREWALL:'
DROP all -- anywhere anywhere

Chain lan-lan (1 references)
target prot opt source destination
LOG all -- anywhere anywhere limit: avg 1/min bur
st 5 LOG level warning prefix `TFW lan-lan:'
DROP all -- anywhere anywhere

Chain lan-modem (1 references)
target prot opt source destination
LOG all -- anywhere anywhere limit: avg 1/min bur
st 5 LOG level warning prefix `TFW lan-modem:'
DROP all -- anywhere anywhere

Chain modem-FIREWALL (1 references)
target prot opt source destination
BACK all -- anywhere anywhere
BACK icmp -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere
LOG all -- anywhere anywhere limit: avg 1/min bur st 5 LOG level warning prefix `TFW modem-FIREWALL:'
DROP all -- anywhere anywhere

Chain modem-lan (1 references)
target prot opt source destination
LOG all -- anywhere anywhere limit: avg 1/min bur st 5 LOG level warning prefix `TFW modem-lan:'
DROP all -- anywhere anywhere

Chain modem-modem (1 references)
target prot opt source destination
LOG all -- anywhere anywhere limit: avg 1/min bur st 5 LOG level warning prefix `TFW modem-modem:'
DROP all -- anywhere anywhere
"It´s Quality, NOT Quantity."
OS: SuSE 9.3 @ Kernel 2.6.11 (default)
WM: KDE 3.2.2
CPU: Athlon XP 1600+
RAM: 512 MB DDR
Benutzeravatar
BlueTurtle
Member
Member
Beiträge: 157
Registriert: 13. Mär 2004, 17:22

Beitrag von BlueTurtle »

Hm, diese Ausgabe erschlägt einen etwas... (-;

gib doch bitte mal:

Code: Alles auswählen

iptables -X
iptables -F
iptables -t nat -X

#und danach nochma:
iptables -L

ein.
Was erhälst Du dann für eine Ausgabe?

BT
Benutzeravatar
EvilSnoop
Member
Member
Beiträge: 52
Registriert: 25. Feb 2004, 15:16

Beitrag von EvilSnoop »

hi
danach steht da blos noch

Chain PREROUTING (policy ACCEPT)
target prot opt source destination

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- anywhere anywhere
MASQUERADE all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
"It´s Quality, NOT Quantity."
OS: SuSE 9.3 @ Kernel 2.6.11 (default)
WM: KDE 3.2.2
CPU: Athlon XP 1600+
RAM: 512 MB DDR
Benutzeravatar
BlueTurtle
Member
Member
Beiträge: 157
Registriert: 13. Mär 2004, 17:22

Beitrag von BlueTurtle »

sowas habe ich fast befürchtet...

bei einem "Ursprungs-System" steht dann nur:
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Dir scheint die INPUT- und die FORWARD-Chain zu fehlen.
Aber die Pre- und Post-Routing Einträge werden nicht gelöscht.

Mein Problem ist jetzt, dass ich mich mit der Turtle-Firewall nicht auskenne - aber die Funktionsweise ist ja eh immer die gleiche, solange auf "iptables" zugegriffen wird.

Würde es Dir vielleicht helfen eine eigene Firewall zu hacken? Ich bin Dir dabei auch gerne behilflich.
Du müsstest mir dann nur sagen, was genau Du brauchst (http, icmp, ftp...) und wie die physikalische Struktur bei Dir zu Hause ist.

Der Weg ist zwar _etwas_ aufwendiger, aber man hat hinterher einen Paketfilter, der das macht, was er soll und Du hast mehr Kontrolle, als wenn Du irgendwas "zusammen-klickst".

BT
Benutzeravatar
EvilSnoop
Member
Member
Beiträge: 52
Registriert: 25. Feb 2004, 15:16

Beitrag von EvilSnoop »

ja ich hatte schonmal zwei howtos gelesen über iptables und schon nen kleines script geschrieben
hab dann aber die turtlefirewall und webmin entdeckt und dachte das läuft halt ziemlich gut und is einfach
bislang lief ja noch garnix so wie´s sollte, ich hab zwar immer alles richtig eingestellt aber laufen wollte dann noch nix, war immer alles derbe unlogisch für mich

also auf zur eigenen firewall =)

mein rechner hat standard zwei netzwerkkarten, eth0 und eth1 sind beide an nem switch an dem das dsl modem und noch der windows client dran hängen
eth0 regelt das dsl moden und eth1 is für LAN
normale lan ip 192.168.0.1 und 255.255.255.0 snm

auf meinem rechner laufen als dienst nur ftp, http und ein nameserver
wären port 21, 80 und dns ?

ich les mir gleich nochmal nen howto durch und versuch mein glück, kleine frage nur, wo schreib ich die vefehle am besten alle rein ?
ich weiss nich wie man nen script oder nen modul erstellt, oder soll ich einfach irgendeins kopieren und umbenennen ?

danke jedenfalls für die hilfe !

greetz

evilsnoop
"It´s Quality, NOT Quantity."
OS: SuSE 9.3 @ Kernel 2.6.11 (default)
WM: KDE 3.2.2
CPU: Athlon XP 1600+
RAM: 512 MB DDR
Benutzeravatar
BlueTurtle
Member
Member
Beiträge: 157
Registriert: 13. Mär 2004, 17:22

Beitrag von BlueTurtle »

äh, könnten wir uns vielleicht direkt auf eine andere Verkabelung einigen?

Von der Wand-Dose aus gesehen: Modem -> Linux-Router -> Switch -> (Windows-) Clients, würde ich vorschlagen. Is glaub ich besser...(-;

Dein DSL-Modem auch eine Netzwerk-Adresse (wahrscheinlich 192.168.0.x).
Deine eth0 muss dann eine IP aus dem gleichen Netz bekommen.

Und die eth1 auf alle Fälle eine IP aus einem anderen Netz (Dein LAN halt).

Nur nochmal zum Verständnis: Wir reden von drei Netzen, das Internet (Dein Modem bekommt eine "offizielle" IP von Deinem Provider, ein privates Netz (zwischen Modem und eth0) und ein zweites privates Netz (darin hängt Deine eth1 und alle Windows-Rechner - das ist eigentlich Dein Home-Netz)

Tut mir leid, wenn ich jetzt soweit ausgeholt habe, aber wenn wir nicht über die gleiche Struktur reden, kann das nichts werden...(-;

Bist Du mit der Struktur einverstanden?

BT
Benutzeravatar
EvilSnoop
Member
Member
Beiträge: 52
Registriert: 25. Feb 2004, 15:16

Beitrag von EvilSnoop »

leider können wir an der topologie nich viel ändern weil die komplette telefonanlage samt windows client im anderen teil des gebäudes liegt
oben is nochmal nen 5 port minihub an dem dsl modem und windows client dranhängen, der uplink geht mit nem 30m kabel ans switch was bei mir steht
also das LAN sollte ich am besten mit ner anderen ip betreiben und nich mit 192.168.0.1 ?
hatte bislang eth0 192.168.0.1 und eth1 192.168.0.2
als ich das über die susefirewall geregelt hab lief das routen auch zeitweise, nur andere sachen gingen dann plätzlich nichmehr....
"It´s Quality, NOT Quantity."
OS: SuSE 9.3 @ Kernel 2.6.11 (default)
WM: KDE 3.2.2
CPU: Athlon XP 1600+
RAM: 512 MB DDR
Snubnose
Hacker
Hacker
Beiträge: 410
Registriert: 18. Feb 2004, 19:19
Wohnort: Schwabenland

Beitrag von Snubnose »

?!?

das kann gar nicht gehen...
das müssen schon zwei verschiede Netze sein....
192.168.0.1
192.168.1.1
mit subnetmaske 255.255.255.0
Antworten