staging.inyokaproject.org

Hallo zusammen,

ich habe folgendes Problem: Ich habe mir ein Script für iptables geschrieben.

Script firewall.sh

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13

#!/bin/bash
IPT="/sbin/iptables"

echo -n "Lade iptables rules..."

# Alle chain's/Ketten löschen
$IPT -F
$IPT --delete-chain

# Verbiete PING vom Internet auf Rechner
$IPT -A INPUT -p ICMP -j DROP

echo "Regeln sind gesetzt!"

Hier der Eintrag meiner /etc/network/interfaces:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
pre-up /etc/firewall1.sh
allow-hotplug eth0
iface eth0 inet dhcp

Dann habe ich das Problem das sich der Dienst rpc.statd nicht startet.

Ich habe auch schon versucht die Ports in mein Script mit aufzunehmen, aber das hilft nichts:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22

#!/bin/bash

IPT="/sbin/iptables"

echo -n "Lade iptables rules..."

# Alle chain's/Ketten löschen
$IPT -F
$IPT --delete-chain

# Verbiete PING vom Internet auf Rechner
$IPT -A INPUT -p ICMP -j DROP

$IPT -A INPUT -p tcp -m tcp --dport 111 -j ACCEPT
$IPT -A INPUT -p tcp -m tcp --dport 2049 -j ACCEPT
$IPT -A INPUT -p tcp -m tcp --dport 4000:4003 -j ACCEPT
$IPT -A INPUT -p tcp -m tcp --dport 6000 -j ACCEPT
$IPT -A INPUT -p udp -m udp --dport 111 -j ACCEPT
$IPT -A INPUT -p udp -m udp --dport 2049 -j ACCEPT
$IPT -A INPUT -p udp -m udp --dport 4000:4003 -j ACCEPT

echo "Regeln sind gesetzt!"

Kann mir einer von euch weiterhelfen?

Danke René

Poste mal die Ausgabe von:

sudo iptables -L -n -v

, nachdem Du dein iptables-Script ausgeführt hast (d. h. wenn die iptables-Regeln aktiv sind).

hallo,

hier die Ausgabe:

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Keine Regel aktiv. Hast Du dein iptables-Script ausgeführt?

EDIT:

Wie ist die Ausgabe von:

sudo sh -x <dein_iptables-Script>

?

Hallo,

das Script wird über den Eintrag in der /etc/network/interfaces gestartet.

Beim aktuellen Code, habe ich folgenden Befehl eingegeben: sudo sh -x firewall1.sh

+ IPT="/sbin/iptables"
+ echo -n Lade iptables rules...
Lade iptables rules...+ /sbin/iptables -F
+ /sbin/iptables --delete-chain
+ /sbin/iptables -A INPUT -p tcp -m tcp --dport 111 -j ACCEPT
+ /sbin/iptables -A INPUT -p tcp -m tcp --dport 2049 -j ACCEPT
+ /sbin/iptables -A INPUT -p tcp -m tcp --dport 4000:4003 -j ACCEPT
+ /sbin/iptables -A INPUT -p tcp -m tcp --dport 6000 -j ACCEPT
+ /sbin/iptables -A INPUT -p udp -m udp --dport 111 -j ACCEPT
+ /sbin/iptables -A INPUT -p udp -m udp --dport 2049 -j ACCEPT
+ /sbin/iptables -A INPUT -p udp -m udp --dport 4000:4003 -j ACCEPT
+ echo Regeln sind gesetzt!
Regeln sind gesetzt!

OK, und jetzt die Ausgabe von:

sudo iptables -L -n -v

?

Was meinst Du mit: anfaenger003 schrieb:

Beim aktuellen Code, ...

?

Hallo,

sorry hatte den falschen Rechner erwischt.

Bei Abfrage von: sudo sh -x firewall1.sh kommt folgende Meldung:

sh: Can't open firewall1.sh

anfaenger003 schrieb:

Chain INPUT (policy ACCEPT 29 packets, 3264 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:111 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:2049 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpts:4000:4003 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:6000 
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:111 
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:2049 
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpts:4000:4003        

Du hast in der INPUT chain Regeln mit dem ACCEPT-target, obwohl die default policy der INPUT chain auf ACCEPT ist. Ist das deine Absicht bzw. ist das richtig so?

anfaenger003 schrieb:

Bei Abfrage von: sudo sh -x firewall1.sh kommt folgende Meldung:

sh: Can't open firewall1.sh

Du weißt aber schon warum diese Meldung kommt, oder?

anfaenger003 schrieb:

Ich habe mir ein Script für iptables geschrieben.

Warum?

1 2	# Verbiete PING vom Internet auf Rechner $IPT -A INPUT -p ICMP -j DROP

Warum?

mfg Betz Stefan

encbladexp schrieb:

anfaenger003 schrieb:

Ich habe mir ein Script für iptables geschrieben.

Warum?

Gibt es eine bessere Variante?

encbladexp schrieb:

1 2	# Verbiete PING vom Internet auf Rechner $IPT -A INPUT -p ICMP -j DROP

Warum?

Warum nicht?!

Hallo mickydoutza,

vielleicht habe ich mich falsch ausgedrückt oder ein Denkfehler und von dem her, nochmal von vorne:

Inhalt /etc/network/iptables

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
allow-hotplug eth0
iface eth0 inet dhcp

Ausgabe sudo sh -x firewall.sh

sh: Can't open firewall.sh

Ist ja auch nicht vorhanden!

Ausgabe sudo iptables -L -n -v

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Ist ja auch nichts definiert!

Beim Einsatz vom Script:

Beim Starten vom Rechner bekomme ich folgende Fehler angezeigt:

Starting NFS common utilities statd failed!
startpar: service(s) returned failure: nfs-common ... failed!
Starting NFS common utilities: statd failed!
startpar: service(s) returned failure: nfs-common ... failed!

Script firewall.sh

#!/bin/bash

IPT="/sbin/iptables"

echo -n "Lade iptables rules..."

# Alle chain's/Ketten löschen
$IPT -F
$IPT --delete-chain

# Verbiete PING vom Internet auf Rechner
$IPT -A INPUT -p ICMP -j DROP

$IPT -A INPUT -p tcp -m tcp --dport 111 -j ACCEPT
$IPT -A INPUT -p tcp -m tcp --dport 2049 -j ACCEPT
$IPT -A INPUT -p tcp -m tcp --dport 4000:4003 -j ACCEPT
$IPT -A INPUT -p tcp -m tcp --dport 6000 -j ACCEPT
$IPT -A INPUT -p udp -m udp --dport 111 -j ACCEPT
$IPT -A INPUT -p udp -m udp --dport 2049 -j ACCEPT
$IPT -A INPUT -p udp -m udp --dport 4000:4003 -j ACCEPT

echo "Regeln sind gesetzt!"

Inhalt /etc/network/interfaces

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
pre-up /etc/firewall1.sh
allow-hotplug eth0
iface eth0 inet dhcp

Ausgabe sudo sh -x firewall.sh

sh: Can't open firewall.sh

Unverständlich, da Script ja bekannt und gestzt!

Ausgabe sudo iptables -L -n -v

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Unverständlich, da Filteregeln via Script gesetzt sind!

Kann mir einer dies etwas genauer erklären?!

Danke und Grüße

anfaenger003 schrieb:

Unverständlich, da Filteregeln via Script gesetzt sind!

Mit welchem Script, wo und zu welchem Zeitpunkt, hast Du die Filterregeln gesetzt?

Hallo,

wie schon im Beitrag geschrieben:

Script:

#!/bin/bash

IPT="/sbin/iptables"

echo -n "Lade iptables rules..."

# Alle chain's/Ketten löschen
$IPT -F
$IPT --delete-chain

# Verbiete PING vom Internet auf Rechner
$IPT -A INPUT -p ICMP -j DROP

$IPT -A INPUT -p tcp -m tcp --dport 111 -j ACCEPT
$IPT -A INPUT -p tcp -m tcp --dport 2049 -j ACCEPT
$IPT -A INPUT -p tcp -m tcp --dport 4000:4003 -j ACCEPT
$IPT -A INPUT -p tcp -m tcp --dport 6000 -j ACCEPT
$IPT -A INPUT -p udp -m udp --dport 111 -j ACCEPT
$IPT -A INPUT -p udp -m udp --dport 2049 -j ACCEPT
$IPT -A INPUT -p udp -m udp --dport 4000:4003 -j ACCEPT

echo "Regeln sind gesetzt!"

Wo:

# The primary network interface
pre-up /etc/firewall1.sh
allow-hotplug eth0
iface eth0 inet dhcp

Diese werden beim Starten des Servers eingelesen. Oder habe ich da ein Verständnisproblem???

anfaenger003 schrieb:

Diese werden beim Starten des Servers eingelesen.

Bist Du dir da sicher? Wie hast Du das bewerkstelligt? Warum zeigt "sudo iptables -L -n -v" nichts an?