|
nori99
Anmeldungsdatum:
5. Januar 2023
Beiträge: Zähle...
|
Hallo Ich kann leider nicht mehr mein Gateway anpingen und verstehe echt nicht wieso. 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60 | #!/bin/bash
### Pfad zu iptables
iptables="/sbin/iptables"
### Reset
$iptables -F # 1
$iptables -t nat -F # 2
$iptables -X # 3
### Default-Action der Ketten INPUT, FORWARD und OUTPUT
$iptables -P INPUT DROP
$iptables -P FORWARD DROP
$iptables -P OUTPUT DROP
# ICMP Erlauben
$iptables -A INPUT -p icmp -j ACCEPT
$iptables -A OUTPUT -p icmp -j ACCEPT
# SSH von LAN erlauben
$iptables -A INPUT -s 10.222.3.0/27 -p tcp --dport 22 -j ACCEPT
# externen Zugriff auf SSH erlauben
$iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
# Webserver von LAN erlauben
$iptables -A INPUT -s 10.222.3.0/27 -p tcp --dport 80 -j ACCEPT
# Pakete welche zu einer bestehenden Verbindung gehoeren, werden
# immer akzeptiert
$iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#
# NAT
#
# Pakete, die zu eth0 weitergeleitet werden, sollen maskiert werden
$iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
# Bereits erlaubte Verbindungen sollen akzeptiert werden (Rueckweg)
$iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
## HTTP und HTTPS erlauben
$iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 -j ACCEPT
$iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 443 -j ACCEPT## DNS erlauben
$iptables -A INPUT -i eth0 -p tcp --sport 53 -j ACCEPT
$iptables -A INPUT -i eth0 -p udp --sport 53 -j ACCEPT
$iptables -A OUTPUT -o eth0 -p tcp --dport 53 -j ACCEPT
$iptables -A OUTPUT -o eth0 -p udp --dport 53 -j ACCEPT
$iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 53 -j ACCEPT
$iptables -A FORWARD -i eth1 -o eth0 -p udp --dport 53 -j ACCEPT
# Webserver von Internet erreichbar
$iptables -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT
#ICMP erlauben
$iptables -A FORWARD -i eth1 -o eth0 -p icmp -j ACCEPT
$iptables -A FORWARD -i eth0 -o eth1 -p icmp -j ACCEPT
|
Sieht evtl. jemand was mein ICMP verhindert ?
Moderiert von kB: Aus dem Forum „Sicherheit“ in einen besser passenden Forenbereich verschoben.
Bitte beachte die als wichtig markierten Themen („Welche Themen gehören hier her und welche nicht?“) im jeweiligen Forum! Danke.
|
|
kB
Supporter, Wikiteam
Anmeldungsdatum:
4. Oktober 2007
Beiträge: 7816
|
Geht es um ping von dem oder zu dem oder durch den Rechner, auf dem dieses Skript ausgeführt wird? Du musst schon mehr erzählen. Zeige die Netfilter-Regeln in einer übersichtlichen Form, z.B.: sudo iptables -S
|
|
nori99
(Themenstarter)
Anmeldungsdatum:
5. Januar 2023
Beiträge: 13
|
Hallo Es geht um den ping von der Firewall zum Gateway/Router (.1) bzw. logischerweise kann ich auch aus meinem LAN nicht mehr ins Internet. Also irgendwas blockiert meine Connection. Hier das Ergebnis von sudo iptables -S 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22 | -P INPUT DROP
-P FORWARD DROP
-P OUTPUT DROP
-A INPUT -p icmp -j ACCEPT
-A INPUT -s 10.222.3.0/27 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 10.222.3.0/27 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --sport 53 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 53 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -o eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -i eth1 -o eth0 -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -i eth1 -o eth0 -p tcp -m tcp --dport 53 -j ACCEPT
-A FORWARD -i eth1 -o eth0 -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -i eth1 -o eth0 -p icmp -j ACCEPT
-A FORWARD -i eth0 -o eth1 -p icmp -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp --dport 53 -j ACCEPT
|
Hier das Ergebnis von iptables -vnL 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29 |
Chain INPUT (policy DROP 67 packets, 14890 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
1202 84312 ACCEPT tcp -- * * 10.222.3.0/27 0.0.0.0/0 tcp dpt:22
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
0 0 ACCEPT tcp -- * * 10.222.3.0/27 0.0.0.0/0 tcp dpt:80
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp spt:53
0 0 ACCEPT udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp spt:53
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
Chain FORWARD (policy DROP 2 packets, 152 bytes)
pkts bytes target prot opt in out source destination
418 76700 ACCEPT all -- eth0 eth1 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
913 47476 ACCEPT tcp -- eth1 eth0 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
3281 171K ACCEPT tcp -- eth1 eth0 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
0 0 ACCEPT tcp -- eth1 eth0 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
432 29927 ACCEPT udp -- eth1 eth0 0.0.0.0/0 0.0.0.0/0 udp dpt:53
1 176 ACCEPT icmp -- eth1 eth0 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT icmp -- eth0 eth1 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
5 420 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
1434 194K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- * eth0 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
1106 78442 ACCEPT udp -- * eth0 0.0.0.0/0 0.0.0.0/0 udp dpt:53
|
|
|
lubux
Anmeldungsdatum:
21. November 2012
Beiträge: 13293
|
nori99 schrieb: Es geht um den ping von der Firewall zum Gateway/Router (.1) bzw. logischerweise kann ich auch aus meinem LAN nicht mehr ins Internet. Also irgendwas blockiert meine Connection.
Wenn Du aus deinem LAN nicht mehr "ins Internet kannst", dann poste mal die Ausgabe von:
nc -zv 1.1.1.1 53
|
|
nori99
(Themenstarter)
Anmeldungsdatum:
5. Januar 2023
Beiträge: 13
|
Keine Ausgabe wie bei Ping. Bleibt einfach hängen bis ich mit "Strg + C" abbreche.
|
|
lubux
Anmeldungsdatum:
21. November 2012
Beiträge: 13293
|
nori99 schrieb: Keine Ausgabe wie bei Ping. Bleibt einfach hängen ...
OK, dann poste jetzt die Ausgaben von:
sudo iptables -nvx -L | grep -i 53
ip r
ip n s
|
|
nori99
(Themenstarter)
Anmeldungsdatum:
5. Januar 2023
Beiträge: 13
|
Ausgabe von sudo iptables -nvx -L | grep -i 53 | 0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp spt:53
0 0 ACCEPT udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp spt:53
0 0 ACCEPT tcp -- eth1 eth0 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
0 0 ACCEPT udp -- eth1 eth0 0.0.0.0/0 0.0.0.0/0 udp dpt:53
0 0 ACCEPT tcp -- * eth0 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
0 0 ACCEPT udp -- * eth0 0.0.0.0/0 0.0.0.0/0 udp dpt:53
|
Ausgabe von ip r | default via 86.118.61.1 dev eth0 proto static
10.222.3.0/27 dev eth1 proto kernel scope link src 10.222.3.1
86.118.61.0/25 dev eth0 proto kernel scope link src 86.118.61.18
|
Ausgabe von ip n s | 192.168.110.1 dev eth0 lladdr 00:50:56:00:24:04 STALE
10.222.3.10 dev eth1 lladdr 00:50:56:00:24:0a DELAY
86.118.61.11 dev eth0 FAILED
86.118.61.0 dev eth0 lladdr 00:50:56:00:24:04 STALE
86.118.61.126 dev eth0 lladdr 00:50:56:00:24:04 STALE
86.118.61.1 dev eth0 lladdr 00:50:56:00:24:04 REACHABLE
|
|
|
lubux
Anmeldungsdatum:
21. November 2012
Beiträge: 13293
|
nori99 schrieb: Ausgabe von ip r default via 86.118.61.1 dev eth0 proto static
10.222.3.0/27 dev eth1 proto kernel scope link src 10.222.3.1
86.118.61.0/25 dev eth0 proto kernel scope link src 86.118.61.18 Ausgabe von ip n s 192.168.110.1 dev eth0 lladdr 00:50:56:00:24:04 STALE
10.222.3.10 dev eth1 lladdr 00:50:56:00:24:0a DELAY
86.118.61.11 dev eth0 FAILED
86.118.61.0 dev eth0 lladdr 00:50:56:00:24:04 STALE
86.118.61.126 dev eth0 lladdr 00:50:56:00:24:04 STALE
86.118.61.1 dev eth0 lladdr 00:50:56:00:24:04 REACHABLE
Das liegt m. E. am Routing. Welche IP-Adresse(n) hat das eth0-Interface? Wie ist die Ausgabe von:
ip a
?
|
|
nori99
(Themenstarter)
Anmeldungsdatum:
5. Januar 2023
Beiträge: 13
|
Am Routing ? Hmm, gestern ging es noch und bis auf die iptables, an nicht anderes gearbeitet. Die IP am Router ist 86.118.61.1/25 und die von eth0 86.118.61.18 Das Ergebnis von ip a ist: 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24 | 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq state UP group default qlen 1000
link/ether 00:50:56:00:24:01 brd ff:ff:ff:ff:ff:ff
altname enp3s0
altname ens160
inet 86.118.61.18/25 brd 86.118.61.127 scope global eth0
valid_lft forever preferred_lft forever
inet6 fe80::250:56ff:fe00:2401/64 scope link
valid_lft forever preferred_lft forever
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq state UP group default qlen 1000
link/ether 00:50:56:00:25:03 brd ff:ff:ff:ff:ff:ff
altname enp11s0
altname ens192
inet 10.222.3.1/27 brd 10.222.3.31 scope global eth1
valid_lft forever preferred_lft forever
inet6 fe80::250:56ff:fe00:2503/64 scope link
valid_lft forever preferred_lft forever
4: ip_vti0@NONE: <NOARP> mtu 1480 qdisc noop state DOWN group default qlen 1000
link/ipip 0.0.0.0 brd 0.0.0.0
|
4 wäre mir jetzt neu, das habe ich, wenn ich mich richtig erinnere, davor gar nicht gehabt.
|
|
lubux
Anmeldungsdatum:
21. November 2012
Beiträge: 13293
|
nori99 schrieb: Die IP am Router ist 86.118.61.1/25 und die von eth0 86.118.61.18 Das Ergebnis von ip a ist: 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq state UP group default qlen 1000
link/ether 00:50:56:00:24:01 brd ff:ff:ff:ff:ff:ff
altname enp3s0
altname ens160
inet 86.118.61.18/25 brd 86.118.61.127 scope global eth0
valid_lft forever preferred_lft forever
inet6 fe80::250:56ff:fe00:2401/64 scope link
valid_lft forever preferred_lft forever
Aber wenn das eth0-Interface nur diese _externe/öffentliche_ IPv4-Adresse 86.118.61.18 hat, wie kommt/landet dann diese:
192.168.110.1 dev eth0 lladdr 00:50:56:00:24:04 STALE
im neighbor-/arp-cache vom eth0-Interface? Welches Gerät in deiner Konstellation, hat die IP-Adresse 192.168.110.1? EDIT: Wo befindet sich der Router mit der IP-Adresse 86.118.61.1? Bei dir oder bei deinem ISP? ... den dein Gerät mit der IP 86.118.61.18 ist ja "boder device" (d. h. direkt im Internet). Kannst Du die IPs im arp-cache, per arping erreichen?
sudo apt install iputils-arping
sudo arping -c 3 -I eth0 86.118.61.1
sudo arping -c 3 -I eth0 192.168.110.1
?
|
|
nori99
(Themenstarter)
Anmeldungsdatum:
5. Januar 2023
Beiträge: 13
|
Ich habe anscheinend noch ein 192.168.110.0 Netz. Mit dem ich aber bis jetzt nicht wirklich gearbeitet habe (Schulumgebung). Hmmm...
|
|
lubux
Anmeldungsdatum:
21. November 2012
Beiträge: 13293
|
nori99 schrieb: Ich habe anscheinend noch ein 192.168.110.0 Netz.
Siehe EDIT oben. Wie ist z. Zt. die Verbindung bzw. der Zugang zum 192.168.110.0-er Netz und der "Einfluss"/Auswirkungen aus diesem Netz?
|
|
nori99
(Themenstarter)
Anmeldungsdatum:
5. Januar 2023
Beiträge: 13
|
lubux schrieb: Siehe EDIT oben. Wie ist z. Zt. die Verbindung bzw. der Zugang zum 192.168.110.0-er Netz und der "Einfluss"/Auswirkungen aus diesem Netz?
Ich kann 192.168.110.1 anpingen, habe aber keine Geräte dort, dieses Netz ist für mich eigentlich nicht relevant. lubux schrieb: EDIT: Wo befindet sich der Router mit der IP-Adresse 86.118.61.1? Bei dir oder bei deinem ISP? ... den dein Gerät mit der IP 86.118.61.18 ist ja "boder device" (d. h. direkt im Internet). Kannst Du die IPs im arp-cache, per arping erreichen?
sudo apt install iputils-arping
sudo arping -c 3 -I eth0 86.118.61.1
sudo arping -c 3 -I eth0 192.168.110.1
?
Der Router wurde von der Lehrperson eingerichtet. arping kann ich leider nicht installieren, ich denke ich müsste iptables "reseten" um Internetzugang zu haben.
|
|
kB
Supporter, Wikiteam
Anmeldungsdatum:
4. Oktober 2007
Beiträge: 7816
|
nori99 schrieb: […] Es geht um den ping von der Firewall zum Gateway/Router (.1) […]
Ich kenne nicht Dein Netzwerk. Das musst Du schon beschreiben, sonst reden wir aneinander vorbei.
Welcher Rechner sendet das ping? Auf welchem Rechner wurde das Skript ausgeführt? Was meinst Du mit Firewall und was ist für Dich Gateway/Router?
|
|
nori99
(Themenstarter)
Anmeldungsdatum:
5. Januar 2023
Beiträge: 13
|
* Den Ping sendet 86.118.61.18 zu 86.118.61.1
|