iptables FORWARD filter

02/08/2010 - 21:45 von Martin Bley | Report spam
Hallo NG,

kann mir hier jemamd erklàren, warum bei folgendem Regelwerk ICMP
Pakete von (z. Bsp.) 10.3.0.14 nach 10.2.0.1 nicht durchkommen (es
kommen generell alle Pakete, die geroutet werden, nicht an)?

# iptables -nL
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT udp -- 0.0.0.0/0 192.168.55.22
udp dpt:1194 state NEW,ESTABLISHED
ACCEPT udp -- 0.0.0.0/0 192.168.55.22
udp spt:53 state ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 10.3.0.1
tcp dpt:22 state NEW,ESTABLISHED
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
state NEW,ESTABLISHED
ACCEPT tcp -- 192.53.103.108 192.168.55.22
tcp spt:123 state ESTABLISHED
ACCEPT udp -- 192.53.103.104 192.168.55.22
udp spt:123 state ESTABLISHED

Chain FORWARD (policy ACCEPT)
target prot opt source destination
LOG icmp -- 0.0.0.0/0 0.0.0.0/0
LOG flags 0 level 7

Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT udp -- 192.168.55.22 0.0.0.0/0
udp spt:1194 state NEW,ESTABLISHED
ACCEPT udp -- 192.168.55.22 192.168.55.2
udp dpt:53 state NEW,ESTABLISHED
ACCEPT tcp -- 10.3.0.1 0.0.0.0/0
tcp spt:22 state ESTABLISHED
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
state ESTABLISHED
ACCEPT tcp -- 192.168.55.22 192.53.103.108
tcp dpt:123 state NEW,ESTABLISHED
ACCEPT udp -- 192.168.55.22 192.53.103.104
udp dpt:123 state NEW,ESTABLISHED

Wenn ich via tcpdump lausche, kann ich die Ausgehenden Pakete auf beiden
(IN und OUT) Schnittstellen sehen, nicht aber die Antworten.

Ich habe den Paketfluss so verstanden, dass geroutete Pakete nur den
FORWARD Filter durchlaufen. Mit oben gezeigtem Regelwerk sollte doch
ein Ping Test möglich sein. Beim Ausschalten des Paketfilters
funktioniert alles. Wo ist nur der Fehler?

Danke und Gruß,
Martin

Martin Bley
... aus Braunschweig
 

Lesen sie die antworten

#1 Juergen P. Meier
03/08/2010 - 06:29 | Warnen spam
Martin Bley :
kann mir hier jemamd erklàren, warum bei folgendem Regelwerk ICMP
Pakete von (z. Bsp.) 10.3.0.14 nach 10.2.0.1 nicht durchkommen (es
kommen generell alle Pakete, die geroutet werden, nicht an)?

# iptables -nL



Kannst du bitte iptables-save posten? Das IMO besser lesbar,
oder wenigstens die Optionen -v noch dazu nehmen.

Chain FORWARD (policy ACCEPT)
target prot opt source destination
LOG icmp -- 0.0.0.0/0 0.0.0.0/0
LOG flags 0 level 7



Also das Regelwerk laesst - sofern du hier keine spezifischen in der
"Normalansicht" ausgeblendete Optionen angegeben hast - ICMP Pakete
durch.

Wenn ich via tcpdump lausche, kann ich die Ausgehenden Pakete auf beiden
(IN und OUT) Schnittstellen sehen, nicht aber die Antworten.



Wenn du mit tcpdump das IP-Paket ausgehend siehst, dann verlaesst es
idR. auch deinen Rechner.

Was sagt denn ein Sniffer auf 10.2.0.1? Empfaengt der auch die ICMP
Pakete?

Ich habe den Paketfluss so verstanden, dass geroutete Pakete nur den
FORWARD Filter durchlaufen. Mit oben gezeigtem Regelwerk sollte doch



In der filter-Tabelle, ja. In der mangle-Tabelle durchlaeuft es alle
Chains ausser OUTPUT (falls geladen).

ein Ping Test möglich sein. Beim Ausschalten des Paketfilters
funktioniert alles. Wo ist nur der Fehler?



Wie sieht die mangle Tabelle genau aus? (siehst du mit iptables-save)

Juergen
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)

Ähnliche fragen