probleme mit iptables
-
hallo
ich möchte nen server an meinem arbeitsplatz anhängen über den zweiten ethernet controller. dazu läuft auf der workstation dnsmasq. das sieht soweit gut aus, der server bezieht eine IP per DHCP, kann Hosts auflösen, pings funktionieren.
testserver | |workstation/pc1| debian | |ubuntu desktop | eth0 10.0.0.17|<-------------->|eth0 10.0.0.1 | |eth1 80.b.l.a |<--->kabelmodem<--->ISP
iptables sieht so aus:
# Generated by iptables-save v1.3.8 on Fri Nov 14 11:39:22 2008 *nat :PREROUTING ACCEPT [23:1842] :POSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [9:585] -A POSTROUTING -o eth1 -j MASQUERADE COMMIT # Completed on Fri Nov 14 11:39:22 2008 # Generated by iptables-save v1.3.8 on Fri Nov 14 11:39:22 2008 *filter :INPUT ACCEPT [2587:2757029] :FORWARD ACCEPT [449:35967] :OUTPUT ACCEPT [2297:151257] -A FORWARD -d 10.0.0.0/255.255.255.0 -i eth1 -j ACCEPT -A FORWARD -d 10.0.0.0/255.255.255.0 -i eth0 -j ACCEPT -A FORWARD -d 10.0.0.0/255.255.255.0 -i eth0 -j DROP COMMIT # Completed on Fri Nov 14 11:39:22 2008
nun mein problem: ich krieg den port 53, auf dem dnsmasq lauscht nach aussenhin nicht zu und wenn ichs richtig gelesen hab ist das ein hohes risiko.
$ netstat -paulnt Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:53 0.0.0.0:* LISTEN 5173/dnsmasq tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 5226/cupsd ... tcp6 0 0 :::53 :::* LISTEN 5173/dnsmasq udp 0 0 0.0.0.0:53 0.0.0.0:* 5173/dnsmasq udp 0 0 0.0.0.0:67 0.0.0.0:* 5173/dnsmasq udp 0 0 0.0.0.0:68 0.0.0.0:* 5557/dhclient udp 0 0 0.0.0.0:57176 0.0.0.0:* 5193/avahi-daemon: udp 0 0 0.0.0.0:5353 0.0.0.0:* 5193/avahi-daemon: udp6 0 0 :::53 :::* 5173/dnsmasq $ nmap 80.b.l.a Starting Nmap 4.53 ( http://insecure.org ) at 2008-11-14 14:55 CET Interesting ports on 80-b-l-a.dclient... (80.b.l.a): Not shown: 3197 closed ports PORT STATE SERVICE 53/tcp open domain 53/udp open|filtered domain 67/udp open|filtered dhcps 68/udp open|filtered dhcpc 5353/udp open|filtered zeroconf Nmap done: 1 IP address (1 host up) scanned in 1.361 seconds
wenn ich die verschiedenen beispiele im howto befolge, krieg ich die namensauflösung auf dem server nicht mehr.
kann mir jemand helfen, die richtigen regeln einzugeben?
-
Ich habe letztens hier einen Link zu den Buechern von Spennenberg gepostet.
Da war auch ein Buch ueber IP Tables zum Download. Ist denn das Routing in deinen Kernel angeschaltet?Ivo
-
ja, routing ist an.
ich hab überlegt, ausser um software über apt-get zu installieren brauch ich eigentlich keine namensauflösung auf dem server. und das wär ja nur eine oder zwei adressen, die debian mirrors. kann ich die nicht hart codieren, so dass nur diese pakete durchgelassen werden, alles andere aber geblockt wird?
sry blicks grad nicht mehr. ich such mal nach den büchern..
-
Du kannst die IP Adressen der Mirrors in die /etc/host eintragen.
Oder in der /etv/apt/source.list die Servernamen durch die IP ersetzen.Ivo
-
jo danke.
habs jetzt geblickt mit den iptables.
das howto ist auch noch ok, etwas knapp aber verständlich:
http://www.64-bit.de/dokumentationen/netzwerk/e/002/DE-IPTABLES-HOWTO.html