IPTables-Firewall => Probleme mit WebSites

#1 Hi !

Ich nutze IP-Tables um ein paar Filterreglen zu erstellen, und um alle Ports oberhalb der 1024 zu blocken - zumindest für ausgehende, initierende Verbindungen aus dem LAN.

Nun hab ich allerdings das Problem, dass ich auf manche Sites nicht zugreifen kann, z.B. eBay.de,atrada,etc.

Ich habe bereits ein Thread im "eigenen" Forum, allerdings brauche ich möglichst schnell ne Lösung, weil ich an meine Rechnungen dran kommen muss .. nunja, hier der Thread : http://www.lis-24.de/viewtopic.php?t=50

Das Hinzufügen des "--clamp-mss-to-pmtu" hat leider auch nicht geholfen ;-( ...
( iptables -I FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu )

Hab keine ideen mehr, was falsch sein könnte ... ich hab in dem Thread auch die Übersicht der IPTables Rules gepostet und ein capture einer Test-Verbindung zu T-Online ( in diesem Fall hat's natürlich nicht funktioniert .. was ja auch beabsichtigt war *g* ) ...

Hoffe jemand kann helfen ..

Thanks !
-Alex
__________
http://www.linux-vpn.de

#2 Trace doch mal die externe Schnittstelle ppp0.
__________
"Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Benedict Torvalds

#3 Was meinst du mit trace ? Ein traceroute auf ext. IP ... ????

Aber ich versuch mal ein traceroute auf ebay.de ;-) .. mal schaun was dabei raus kommt ...

-Alex
__________
http://www.linux-vpn.de

#4 passiert das nur wenn die iptables regeln drinnen sind oder geht alles wenn sie draußen sind?

Wie sind denn deine genauen Regeln? ( am liebsten so wie du sie per 'iptables' eingibst ( ist einfacher zu lesen ) )
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#5 hmmm.. die regeln kann ich nicht alle raus nehmen, da sonst das ISP-Failover spinnt ... aber habe generell mal gesagt, alles was vom internen Netz raus will ist erlaubt und alle getrackten, aufgebauten und verwandten Verbindungen zurück sind erlaubt. Alles proto unabhängig. Habe dann auch das --clamp-mss.... mit eingefügt (an 1. stelle in die FORWARD CHAIN) ... funkt trotzdem nicht ...

Ich kann ja mal ein "iptables-save" machen und hier posten ... eine sekunde ...

-Alex


Hier schonmal ein traceroute auf ebay.de :


22:53:44.954514 192.168.1.254 > 192.168.1.51: icmp: time exceeded in-transit [tos 0xc0]
22:53:44.957729 192.168.1.254 > 192.168.1.51: icmp: time exceeded in-transit [tos 0xc0]
22:53:44.959688 192.168.1.254 > 192.168.1.51: icmp: time exceeded in-transit [tos 0xc0]
22:53:45.011799 217.5.98.53 > 192.168.1.51: icmp: time exceeded in-transit
22:53:45.072735 217.5.98.53 > 192.168.1.51: icmp: time exceeded in-transit
22:53:45.125694 217.5.98.53 > 192.168.1.51: icmp: time exceeded in-transit
22:53:45.176702 217.237.153.150 > 192.168.1.51: icmp: time exceeded in-transit
22:53:45.232753 217.237.153.150 > 192.168.1.51: icmp: time exceeded in-transit
22:53:45.281741 217.237.153.150 > 192.168.1.51: icmp: time exceeded in-transit
22:53:45.502006 paix-gw12.SFO.US.net.DTAG.DE > 192.168.1.51: icmp: time exceeded in-transit
22:53:45.721947 paix-gw12.SFO.US.net.DTAG.DE > 192.168.1.51: icmp: time exceeded in-transit
22:53:45.943598 paix-gw12.SFO.US.net.DTAG.DE > 192.168.1.51: icmp: time exceeded in-transit
__________
http://www.linux-vpn.de

#6

Zitat

tuxx postete
Was meinst du mit trace ? Ein traceroute auf ext. IP ... ????

Sorry. tcpdump natuerlich
__________
"Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Benedict Torvalds

#7 P.S. o.g. "traceroute" ist von tcpdump ;-) ..

Und hier vom Router direkt :


20:59:35.773547 217.5.98.53 > 192.168.1.51: icmp: time exceeded in-transit
20:59:35.826755 217.5.98.53 > 192.168.1.51: icmp: time exceeded in-transit
20:59:35.879702 217.5.98.53 > 192.168.1.51: icmp: time exceeded in-transit
20:59:35.933670 217.237.153.150 > 192.168.1.51: icmp: time exceeded in-transit
20:59:35.986650 217.237.153.150 > 192.168.1.51: icmp: time exceeded in-transit
20:59:36.039624 217.237.153.150 > 192.168.1.51: icmp: time exceeded in-transit
20:59:36.254718 62.154.5.245 > 192.168.1.51: icmp: time exceeded in-transit
20:59:36.469556 62.154.5.245 > 192.168.1.51: icmp: time exceeded in-transit
20:59:36.684631 62.154.5.245 > 192.168.1.51: icmp: time exceeded in-transit

Und hier die rules ( kein iptables-save .. die "originalen" ) :

#### PPPOE MTU/MRU ISSUE ####
iptables -I FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
#############################

#### WebService Issues ##
iptables -A FORWARD -i eth0 -o ppp0 -p tcp --dport 8080 -j ACCEPT
iptables -A FORWARD -i ppp0 -o eth0 -p tcp --sport 8080 -m state --state ESTABLISHED,RELATED -j ACCEPT
#########################

iptables -A FORWARD -i ippp0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o ippp0 -j ACCEPT
iptables -A INPUT -i ippp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A LOGGING -i ippp0 -m state --state NEW -m limit --limit 6/min -j LOG --log-prefix "FW_IN: " --log-level info
iptables -A LOGGING -i eth0 -o ippp0 -p tcp -m multiport --dports 137,138,139 -j LOG --log-prefix "NETBIOS: "
iptables -A LOGGING -i eth0 -o ippp0 -p udp -m multiport --dports 137,138,139 -j LOG --log-prefix "NETBIOS: "
iptables -A FORWARD -i eth0 -o ippp0 -p tcp -m multiport --dports 137,138,139 -j DROP
iptables -A FORWARD -i eth0 -o ippp0 -p udp -m multiport --dports 137,138,139 -j DROP
iptables -A FORWARD -i eth0 -o ippp0 -s 0.0.0.0/0 -d 0.0.0.0/0 -p udp --sport 137 --dport 53 -j DROP
iptables -A FORWARD -i eth0 -o ippp0 -j ACCEPT

## THIS IS FOR L2TP/IPSEC CONNECTIONS ##
# iptables -t nat --append PREROUTING -i ipsec0 -p udp --sport 1701 --dport 1701 -j DNAT --to-destination 1.1.1.100


### For pppoe
iptables -A OUTPUT -o ppp0 -d 0/0 -p tcp -j ACCEPT
iptables -A OUTPUT -o ppp0 -d 0/0 -p udp -j ACCEPT

######## LOGGING ##############

iptables -A INPUT -i ppp0 -s 0/0 -m state --state NEW,INVALID -m limit --limit 6/min -j LOG --log-level info --log-prefix "FW_IN: "
iptables -A FORWARD -i ppp0 -o eth0 -s 0/0 -d 0/0 -m state --state NEW,INVALID -m limit --limit 6/min -j LOG --log-level info --log-prefix "FW_FWD: "

iptables -A INPUT -i ppp0 -s 0/0 -m state --state ! NEW,INVALID -m limit \
--limit 6/min -p tcp --sport 1024: -j LOG --log-level info --log-prefix "FW_IN_HIPORT: "

iptables -A INPUT -i ppp0 -s 0/0 -m state --state ! NEW,INVALID -m limit \
--limit 6/min -p udp --sport 1024: -j LOG --log-level info --log-prefix "FW_IN_HIPORT: "

#################################

iptables -A INPUT -i ppp0 -s 0/0 -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i ppp0 -s 0/0 -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i ppp0 -o eth0 -s 0/0 -d 192.168.1.0/24 -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i ppp0 -o eth0 -s 0/0 -d 192.168.1.0/24 -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT

### For NO-IP.com Dyndns

iptables -A OUTPUT -o ppp0 -d 63.215.241.204 -p tcp --dport 8245 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i ppp0 -s 63.215.241.204 -p tcp --sport 8245 -m state --state ESTABLISHED,RELATED -j ACCEPT


### For radiostorm radio stream
iptables -A FORWARD -i eth0 -o ppp0 -d 0/0 -s 192.168.1.0/24 -p tcp --dport 12505 -j ACCEPT
iptables -A FORWARD -i ppp0 -o eth0 -s 0/0 -d 192.168.1.0/24 -p tcp --sport 12505 -m state --state ESTABLISHED,RELATED -j ACCEPT

-----------

Und da ich hier ständig editieren muss, statt antworten zu können, hier nun auch das tcpdump zu www.ebay.com ( BTW, www.ebay.de = service unavailable ) ...

Hier ein tcpdump zu ebay.com mit dem resultat "document contains no data" :

21:08:09.100436 66.135.192.85.http > 80.133.190.224.32893: . ack 428 win 17094 <nop,nop,timestamp 61375948 254124> (DF)
21:08:30.249643 80.133.190.224.32894 > 66.135.208.101.http: SWE 2176564575:2176564575(0) win 5840 <mss 1460,sackOK,timestamp 256261 0,nop,wscale 0> (DF)
21:08:30.473590 66.135.208.101.http > 80.133.190.224.32894: S 970675196:970675196(0) ack 2176564576 win 17520 <mss 1460,nop,wscale 0,nop,nop,timestamp 0 0,nop,nop,sackOK> (DF)
21:08:30.476054 80.133.190.224.32894 > 66.135.208.101.http: . ack 1 win 5840 <nop,nop,timestamp 256283 0> (DF)
21:08:30.477125 80.133.190.224.32894 > 66.135.208.101.http: P 1:428(427) ack 1 win 5840 <nop,nop,timestamp 256283 0> (DF)
21:08:30.871436 66.135.208.101.http > 80.133.190.224.32894: . ack 428 win 17093 <nop,nop,timestamp 42303453 256283> (DF)
21:08:38.746368 66.135.208.101.http > 80.133.190.224.32894: . 1449:1461(12) ack 428 win 17093 <nop,nop,timestamp 42303532 256283> (DF)
21:08:38.748294 80.133.190.224.32894 > 66.135.208.101.http: . ack 1 win 5840 <nop,nop,timestamp 257111 0,nop,nop,sack sack 1 {1449:1461} > (DF)
21:08:44.762366 66.135.208.101.http > 80.133.190.224.32894: . 1449:1461(12) ack 428 win 17093 <nop,nop,timestamp 42303592 257111> (DF)
21:08:44.764650 80.133.190.224.32894 > 66.135.208.101.http: . ack 1 win 5840 <nop,nop,timestamp 257712 0,nop,nop,sack sack 2 {1449:1461}{1449:1461} > (DF)
21:08:44.986325 66.135.208.101.http > 80.133.190.224.32894: . 1437:1449(12) ack 428 win 17093 <nop,nop,timestamp 42303594 257712> (DF)
21:08:44.988602 80.133.190.224.32894 > 66.135.208.101.http: . ack 1 win 5840 <nop,nop,timestamp 257735 0,nop,nop,sack sack 1 {1437:1461} > (DF)
21:08:45.218488 66.135.208.101.http > 80.133.190.224.32894: P 4357:5583(1226) ack 428 win 17093 <nop,nop,timestamp 42303596 257735> (DF)
21:08:45.222606 80.133.190.224.32894 > 66.135.208.101.http: . ack 1 win 5840 <nop,nop,timestamp 257758 0,nop,nop,sack sack 2 {4357:5583}{1437:1461} > (DF)
21:09:01.934266 66.135.208.101.http > 80.133.190.224.32894: . 1449:1461(12) ack 428 win 17093 <nop,nop,timestamp 42303764 257758> (DF)
21:09:01.936811 80.133.190.224.32894 > 66.135.208.101.http: . ack 1 win 5840 <nop,nop,timestamp 259429 0,nop,nop,sack sack 3 {1449:1461}{1437:1461}{4357:5583} > (DF)
21:09:07.184302 66.135.208.101.http > 80.133.190.224.32894: . 2909:2921(12) ack 428 win 17093 <nop,nop,timestamp 42303816 259429> (DF)
21:09:07.186371 80.133.190.224.32894 > 66.135.208.101.http: . ack 1 win 5840 <nop,nop,timestamp 259954 0,nop,nop,sack sack 3 {2909:2921}{1437:1461}{4357:5583} > (DF)
21:09:12.325143 66.135.208.101.http > 80.133.190.224.32894: . 4369:4381(12) ack 428 win 17093 <nop,nop,timestamp 42303868 259954> (DF)
21:09:12.327150 80.133.190.224.32894 > 66.135.208.101.http: . ack 1 win 5840 <nop,nop,timestamp 260468 0,nop,nop,sack sack 3 {4369:4381}{4357:5583}{2909:2921} > (DF)
21:09:12.558339 66.135.208.101.http > 80.133.190.224.32894: P 4381:5583(1202) ack 428 win 17093 <nop,nop,timestamp 42303870 260468> (DF)
21:09:12.562053 80.133.190.224.32894 > 66.135.208.101.http: . ack 1 win 5840 <nop,nop,timestamp 260492 0,nop,nop,sack sack 3 {4381:5583}{4357:5583}{2909:2921} > (DF)
21:09:24.201207 66.135.208.101.http > 80.133.190.224.32894: R 5583:5583(0) ack 428 win 0 (DF)
21:09:28.744982 80.133.190.224.32895 > 66.135.208.101.http: SWE 2226248116:2226248116(0) win 5840 <mss 1460,sackOK,timestamp 262110 0,nop,wscale 0> (DF)
21:09:28.965131 66.135.208.101.http > 80.133.190.224.32895: S 323804317:323804317(0) ack 2226248117 win 17520 <mss 1460,nop,wscale 0,nop,nop,timestamp 0 0,nop,nop,sackOK> (DF)
21:09:28.967988 80.133.190.224.32895 > 66.135.208.101.http: . ack 1 win 5840 <nop,nop,timestamp 262132 0> (DF)
21:09:28.969044 80.133.190.224.32895 > 66.135.208.101.http: P 1:347(346) ack 1 win 5840 <nop,nop,timestamp 262132 0> (DF)
21:09:29.214229 66.135.208.101.http > 80.133.190.224.32895: P 1449:1657(208) ack 347 win 17174 <nop,nop,timestamp 5947854 262132> (DF)
21:09:29.216636 80.133.190.224.32895 > 66.135.208.101.http: . ack 1 win 5840 <nop,nop,timestamp 262157 0,nop,nop,sack sack 1 {1449:1657} > (DF)
21:09:29.297236 66.135.208.101.http > 80.133.190.224.32895: . ack 347 win 17174 <nop,nop,timestamp 5947856 262132> (DF)


---------

ich hab irgendwo "mss 1460" gesehen ... ??!?!!??!? ...

-Alex
__________
http://www.linux-vpn.de

#8 Hmm auf den ersten Blick kann ich auch nicht wirklich was erkennen - nichts was helfen würde.
Die Regeln sehn doch ganz ordentlich aus ...
Welche OUTPUT Policy hast du? Ich gehe davon aus das du DROP benutzt.
Sind die Probleme auch da wenn du die auf ACCEPT hast? - Das ist ja komisch ich mein wenn die OUTPUT Policy auf DROP steht (wovon ich ausgehe, weil du viele OUTPUT's in den Regeln hast) dann sehe ich keine einzige ICMP rule.

### For pppoe
iptables -A OUTPUT -o ppp0 -d 0/0 -p tcp -j ACCEPT
iptables -A OUTPUT -o ppp0 -d 0/0 -p udp -j ACCEPT

wie wärs mit "iptables -A OUTPUT -o ppp0 -d 0/0 -p icmp -j ACCEPT"?
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#9 Hi,

habe die ICMP regeln für OUTPUT, INPUT und FORWARD eingetragen. Nun sehe ich zwar, dass auf INPUT und OUTPUT ICMP Pakete geschickt & empfangen werden, aber es funkt leider immernoch nicht ... unter FORWARD sehe ich nur dann etwas, wenn ich ein Ping auf irgendeinen Webserver mache ...

by the way, Default Policy von INPUT,OUTPUT, FORWARD ist DROP .. "selbstverständlich" .. *g*

Alles was ich in Verbindung mit dem Fehler bringe und finden kann ist die PMTU .. man kann diese wohl auch ganz ausschalten .. habe ich dann gemacht .. leider hat's auch nix geholfen ..

-------------

Ich hab's gestern mal mit ISDN probiert .. da funzt es einwandfrei ..


-Alex
__________
http://www.linux-vpn.de

#10

Zitat

by the way, Default Policy von INPUT,OUTPUT, FORWARD ist DROP .. "selbstverständlich" .. *g*

So selbstverständlich ist das gar nicht, ich hab OUTPUT Policy zb. auf ACCEPT.
Deine Regeln sind etwas krass, wer ist denn alles in deinem LAN? Haste nochn paar Untermieter?

Nun gut irgendwie glaub ich trozdem das es mit deinen Regeln zusammenhängt, was anderes kann ich mir nicht erklären. Zumindestens OUTPUT könnte man ruhig auf ACCEPT stellen da dies eh nur für die lokale Maschine gilt. Mit ISDN kenne ich mich überhaupt nicht aus.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#11 Hi,

ja.. so ungefähr..

ich hab die policy für INPUT/OUTPUT für n paar sekunden auch mal auf ACCEPT gestellt .. hab's dann nochmal ausprobiert, aber wieder das gleiche problem ...

hmmmmm... ich kann's mir einfach nicht erklären ... ich werd mal die regeln für ISDN & DSL vergleichen ( die für ISDN sind nicht ganz so "krass" ) ... vielleicht findet sich da irgendwas ... bzw. werde ein "ganz einfaches" Skript nutzen und sehen ob's dann funktioniert ...

-Alex


###############


GELÖST !!! JUHU !!!

Und was war's ???? Nix mit iptables oder PMTU, etc. zu tun !!!!

Relativ einfach :

Der pppd ist wohl buggy ( oder die pppoe implementierung ) .. jedenfalls habe ich in der config die Einträge für mru und mtu auskommentiert, den pppd neu gestartet und voila .. das war alles ...

-Alex
__________
http://www.linux-vpn.de

#12 tachchen!

zufällig hab ich genau das selbe problemchen wie oben beschrieben.

was genau hast du gemacht, daß es bei dir geht?

#13 Hi,

sorry, ein wenig sarkastisch muss ich jetzt sein ... kannst du lesen ? ;-) ...

.... steht doch genau über dir ....

einfach die Einträge "MRU" und "MTU" in der Datei /etc/ppp/options ( oder options.pppoe ) - wie auch immer - auskommentieren ...

hope it helps ..

cu
alex
__________
http://www.linux-vpn.de