probleme mit iptables



  • hallo

    ich möchte nen server an meinem arbeitsplatz anhängen über den zweiten ethernet controller. dazu läuft auf der workstation dnsmasq. das sieht soweit gut aus, der server bezieht eine IP per DHCP, kann Hosts auflösen, pings funktionieren.

    testserver    |                |workstation/pc1|
    debian        |                |ubuntu desktop |
    eth0 10.0.0.17|<-------------->|eth0 10.0.0.1  |
                                   |eth1 80.b.l.a  |<--->kabelmodem<--->ISP
    

    iptables sieht so aus:

    # Generated by iptables-save v1.3.8 on Fri Nov 14 11:39:22 2008
    *nat
    :PREROUTING ACCEPT [23:1842]
    :POSTROUTING ACCEPT [0:0]
    :OUTPUT ACCEPT [9:585]
    -A POSTROUTING -o eth1 -j MASQUERADE 
    COMMIT
    # Completed on Fri Nov 14 11:39:22 2008
    # Generated by iptables-save v1.3.8 on Fri Nov 14 11:39:22 2008
    *filter
    :INPUT ACCEPT [2587:2757029]
    :FORWARD ACCEPT [449:35967]
    :OUTPUT ACCEPT [2297:151257]
    -A FORWARD -d 10.0.0.0/255.255.255.0 -i eth1 -j ACCEPT 
    -A FORWARD -d 10.0.0.0/255.255.255.0 -i eth0 -j ACCEPT 
    -A FORWARD -d 10.0.0.0/255.255.255.0 -i eth0 -j DROP 
    COMMIT
    # Completed on Fri Nov 14 11:39:22 2008
    

    nun mein problem: ich krieg den port 53, auf dem dnsmasq lauscht nach aussenhin nicht zu 😞 und wenn ichs richtig gelesen hab ist das ein hohes risiko.

    $ netstat -paulnt
    Active Internet connections (servers and established)
    Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
    tcp        0      0 0.0.0.0:53              0.0.0.0:*               LISTEN      5173/dnsmasq    
    tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      5226/cupsd      
    ...
    tcp6       0      0 :::53                   :::*                    LISTEN      5173/dnsmasq    
    udp        0      0 0.0.0.0:53              0.0.0.0:*                           5173/dnsmasq    
    udp        0      0 0.0.0.0:67              0.0.0.0:*                           5173/dnsmasq    
    udp        0      0 0.0.0.0:68              0.0.0.0:*                           5557/dhclient   
    udp        0      0 0.0.0.0:57176           0.0.0.0:*                           5193/avahi-daemon: 
    udp        0      0 0.0.0.0:5353            0.0.0.0:*                           5193/avahi-daemon: 
    udp6       0      0 :::53                   :::*                                5173/dnsmasq  
    $ nmap 80.b.l.a
    Starting Nmap 4.53 ( http://insecure.org ) at 2008-11-14 14:55 CET
    Interesting ports on 80-b-l-a.dclient... (80.b.l.a):
    Not shown: 3197 closed ports
    PORT     STATE         SERVICE
    53/tcp   open          domain
    53/udp   open|filtered domain
    67/udp   open|filtered dhcps
    68/udp   open|filtered dhcpc
    5353/udp open|filtered zeroconf
    
    Nmap done: 1 IP address (1 host up) scanned in 1.361 seconds
    

    wenn ich die verschiedenen beispiele im howto befolge, krieg ich die namensauflösung auf dem server nicht mehr.

    kann mir jemand helfen, die richtigen regeln einzugeben?



  • Ich habe letztens hier einen Link zu den Buechern von Spennenberg gepostet.
    Da war auch ein Buch ueber IP Tables zum Download. Ist denn das Routing in deinen Kernel angeschaltet?

    Ivo



  • ja, routing ist an.

    ich hab überlegt, ausser um software über apt-get zu installieren brauch ich eigentlich keine namensauflösung auf dem server. und das wär ja nur eine oder zwei adressen, die debian mirrors. kann ich die nicht hart codieren, so dass nur diese pakete durchgelassen werden, alles andere aber geblockt wird?

    sry blicks grad nicht mehr. ich such mal nach den büchern..



  • Du kannst die IP Adressen der Mirrors in die /etc/host eintragen.
    Oder in der /etv/apt/source.list die Servernamen durch die IP ersetzen.

    Ivo



  • jo danke.
    habs jetzt geblickt mit den iptables.
    das howto ist auch noch ok, etwas knapp aber verständlich:
    http://www.64-bit.de/dokumentationen/netzwerk/e/002/DE-IPTABLES-HOWTO.html


Log in to reply