Von einigen IPs nicht erreichbar

Computer: Software & Programmierung UNIX & Linux
#1

Moin,

ich habe ein Problem, bei dem ich nicht weiterkomme. Mein Server nutzt IPTABLES als Firewall.
Das scheint auch zu funktionieren, aber irgendwie sind einige Netze abgehängt, obwohl es keine Regel dafür gibt.

Der Server hat die Ports 80 und 25,… für alle auf, was mir sinnvoll erscheint.

Bsp: -A INPUT -p tcp -m tcp -m multiport --dports 80,443,25 -j ACCEPT

(Ich poste hier absichtlich nicht die ganzen Regeln, da passiert nix großartiges, außer Std. Ports auf, Rest fällt auf Default DROP für INPUT.)

Jedoch kommen einige Leute (z.B. aus Handynetzen) nicht drauf. Also, eigentlich funktionierts für den Rest der Welt!

Der Server schneisst die Pakete per DROP weg. Läßt sich im Log nachvollziehen. Aber warum?
Anfrage kommt an z.B. 80 und bleibt hängen.

Nov 10 19:48:58 server kernel: [1137263.306825] iptables denied: IN=eth2 OUT= MAC=00:50:55:93:65:d4:00:23:9c:04:ce:00:08:00 SRC=79.165.44.xxx DST=213.19.240.xx LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=46941 DF PROTO=TCP SPT=1313 DPT=25 WINDOW=65535 RES=0x00 SYN URGP=0
N

Der Default Wert für die INPUT Seite steht auf DROP. Stelle ich das auf ACCEPT um, dann gehts.
Also hat die Firewall dir Finger drin :?

Jetzt mal grundsätzlich, habe ich da einen Denkfehler? Es funktioniert ja zu vielleicht 95%.

Was bewegt so eine Firewall, daß dort eine Regel nicht nach Standard greift?

Gruß Heiko

#2

Hallo Heiko,

leider bin ich kein FW-Experte… :frowning:

Aber generell ist es meines Wissens so, dass so ziemlich alles, was nicht explizit aufgeführt ist, geblockt wird.

Bist Du definitiv sicher, dass für die Handynetze ausschließlich (der freigeschaltete) Port 80 benötigt wird und kein anderer zusätzlich?

Ich würde vermuten, dass da evtl. zusätzlich für einzelne Anwendungen noch ein verwendeter Port freizuschalten ist.

Viele Grüße,
Klaus

#3

Sorry, hier kann ich nicht weiterhelfen.

#4

Moin,

(Ich poste hier absichtlich nicht die ganzen Regeln, da
passiert nix großartiges, außer Std. Ports auf, Rest fällt auf
Default DROP für INPUT.)

Der Default Wert für die INPUT Seite steht auf DROP. Stelle
ich das auf ACCEPT um, dann gehts.

dann möchte ich doch bitte die ganze policy sehen.

mfg
bunan

#5

dann möchte ich doch bitte die ganze policy sehen.

Gerne, die icmp Regeln sind erst neu drin, beim Testen und surfen aufgenommen. Hat nix verändert, bzw. verschlimmert :frowning:

Früher gabs für jeden Port eine eigene Regel, ich habe gestern mal mehrere Ports zusammengefasst. Mittig werden SSHs aufgemacht fürs RZ und mich, bzw. einige Kunden. Bin mal gespannt… Gruß Heiko

Generated by iptables-save v1.4.2 on Fri Nov 12 14:50:33 2010

*filter

INPUT DROP [1000:71504]
FORWARD ACCEPT [0:0]
OUTPUT ACCEPT [256467:143709677]
ISPCP_INPUT - [0:0]
ISPCP_OUTPUT - [0:0]

-A INPUT -j ISPCP_INPUT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp ! --tcp-flags SYN SYN ##Deaktiviert
-A INPUT -m state --state INVALID -j DROP
-A INPUT -p icmp -m icmp --icmp-type 3 -m physdev --physdev-is-in -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp -m multiport --dports 80,443 -j ACCEPT
-A INPUT -p tcp -m tcp -m multiport --dports 25,587 -j ACCEPT
-A INPUT -p tcp -m tcp -m multiport --dports 143,993,110,995 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 10000 -m state --state NEW -j LOG --log-prefix "webmin-login: "
-A INPUT -s 80.83.109.52/32 -p tcp -m tcp -j ACCEPT
-A INPUT -s 89.245.133.5/32 -p tcp -m tcp -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -j LOG --log-prefix "ssh-login: "
-A INPUT -s 80.242.128.11/32 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 80.242.128.13/32 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 80.242.131.77/32 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 80.242.133.80/28 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 217.111.106.100/32 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 217.91.19.208/32 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 84.177.65.31/32 -p tcp -m tcp -m multiport --dports 22,10000 -j ACCEPT
-A INPUT -s 80.83.109.52/32 -d 89.19.240.55/32 -p tcp -m tcp -m multiport --dports 10000,22 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp -m multiport --dports 22,10000 -j DROP
-A INPUT -p tcp -m tcp --sport 1024:65535 --dport 21 -m state --state NEW -j ACCEPT
-A INPUT -d 89.19.240.55/32 -p tcp -m tcp --dport 115 -m state --state NEW
-A INPUT -s 89.19.240.55/32 -p tcp -m tcp --dport 3306 -j ACCEPT
-A INPUT -s 217.91.19.208/32 -p tcp -m tcp --dport 3306 -j ACCEPT
-A INPUT -s 80.83.109.52/32 -p tcp -m tcp --dport 3306 -j ACCEPT
-A INPUT -p icmp -m state --state NEW,RELATED,ESTABLISHED -m tos --tos 0x08/0x00 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -p udp -m udp --dport 33434:33523 -j ACCEPT
-A OUTPUT -j ISPCP_OUTPUT
-A ISPCP_INPUT -p tcp -m tcp --sport 587
-A ISPCP_INPUT -p tcp -m tcp --sport 465
-A ISPCP_INPUT -p tcp -m tcp --sport 25
-A ISPCP_INPUT -p tcp -m tcp --dport 993
-A ISPCP_INPUT -p tcp -m tcp --dport 995
-A ISPCP_INPUT -p tcp -m tcp --dport 587
-A ISPCP_INPUT -p tcp -m tcp --dport 465
-A ISPCP_INPUT -p tcp -m tcp --dport 25
-A ISPCP_INPUT -p tcp -m tcp --dport 143
-A ISPCP_INPUT -p tcp -m tcp --dport 110
-A ISPCP_INPUT -p tcp -m tcp --dport 443
-A ISPCP_INPUT -p tcp -m tcp --dport 80
-A ISPCP_INPUT -j RETURN
-A ISPCP_OUTPUT -p tcp -m tcp --dport 587
-A ISPCP_OUTPUT -p tcp -m tcp --dport 465
-A ISPCP_OUTPUT -p tcp -m tcp --dport 25
-A ISPCP_OUTPUT -p tcp -m tcp --sport 993
-A ISPCP_OUTPUT -p tcp -m tcp --sport 995
-A ISPCP_OUTPUT -p tcp -m tcp --sport 587
-A ISPCP_OUTPUT -p tcp -m tcp --sport 465
-A ISPCP_OUTPUT -p tcp -m tcp --sport 25
-A ISPCP_OUTPUT -p tcp -m tcp --sport 143
-A ISPCP_OUTPUT -p tcp -m tcp --sport 110
-A ISPCP_OUTPUT -p tcp -m tcp --sport 443
-A ISPCP_OUTPUT -p tcp -m tcp --sport 80
-A ISPCP_OUTPUT -j RETURN
COMMIT

Completed on Fri Nov 12 14:50:33 2010

Generated by iptables-save v1.4.2 on Fri Nov 12 14:50:33 2010

*mangle

PREROUTING ACCEPT [278215:58558675]
INPUT ACCEPT [278215:58558675]
FORWARD ACCEPT [0:0]
OUTPUT ACCEPT [256470:143712881]
POSTROUTING ACCEPT [256470:143712881]

COMMIT

Completed on Fri Nov 12 14:50:33 2010

Generated by iptables-save v1.4.2 on Fri Nov 12 14:50:33 2010

*nat

PREROUTING ACCEPT [15865:836429]
POSTROUTING ACCEPT [24562:1728463]
OUTPUT ACCEPT [24562:1728463]

COMMIT

Completed on Fri Nov 12 14:50:33 2010

#6

Meine Vermutung, dass der Default vorne steht, wird bestätigt.

Mein Vorschlag, verschieb ihn nach hinten und probier nochmals. Ich freue mich auf ein feedback.

mfG
peter

#7

Mein Vorschlag, verschieb ihn nach hinten und probier
nochmals. Ich freue mich auf ein feedback.

Hmm, die Regeln habe ich mit der Webmin Oberfläche verändert. Der Setzte die Regel aber auch immer wieder nach vorne.

Bin jetzt hingegangen und habe den default auf acceppt gesetzt und hinten einfach eine Regel drop all angehängt. Das sollte doch den gleichen Zweck erfüllen.

Wobei mir das immer noch nicht klar ist, daß einige durchkommen und ganz wenige nicht.

Gruß Heiko

#8

Bin jetzt hingegangen und habe den default auf acceppt gesetzt

Lieber keine „acceppt all“!

und hinten einfach eine Regel drop all angehängt. Das sollte

Diese Rule kann die Aufgabe von default drop erfüllen.

Wobei mir das immer noch nicht klar ist, daß einige
durchkommen und ganz wenige nicht.

Auch mit „acceppt all“ am Anfang? Da ist mein Latein am Ende!

Gruss,
peter

#9

Wobei mir das immer noch nicht klar ist, daß einige
durchkommen und ganz wenige nicht.

Auch mit „acceppt all“ am Anfang? Da ist mein Latein am Ende!

Hallo Peter,

kurze rückmeldung, es hat sich geklärt, also fast.

Bei Aktivierung/Update der Firewall Regeln wurde abschließend ein weiteres Script angestossen. Das hat eine weitere Regel ins Routing für einen IP Adress Bereich eingestellt. Das war genau der Bereich, der nicht funktionierte. War also kein Firewall Problem selbst, wurde aber über die Firewall aktiviert.

Gruß Heiko