iptables und tftp

#0
21.10.2010, 14:15
...neu hier

Beiträge: 2
#1 hi,

habe auf meinem Testserver eine Firewall mit iptables eingerichtet. funktioniert auch alles soweit.
Nur ein Dienst, undzwar TFTP wird immer geblockt.

hier mal die Konfiguration:

$IPTABLES -A INPUT -p udp -m udp --dport 69 -j ACCEPT
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -i lo -j ACCEPT

$IPTABLES -A OUTPUT -o lo -j ACCEPT
$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


Wenn ich bei OUTPUT den state NEW hinzufüge funktioniert es auch ohne Probleme, aber den State new wollte ich wenn möglich nicht benutzen.


Das ganze läuft auf Debian und ich nutze als TFTP-Server "atftpd"

Weiss einer wo der Fehler ist :S

Danke im voraus
Seitenanfang Seitenende
21.10.2010, 14:29
Member
Avatar Xeper

Beiträge: 5291
#2 Wo ist denn dein ganzes Script?
Warum läßt du nicht alles nach draußen hin zu?
Je restriktiver die Regeln, desto problematischer wird es natürlich.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
21.10.2010, 14:34
...neu hier

Themenstarter

Beiträge: 2
#3 Ich habe die Restlichen dienste mal weggelassen sowas wie smtp,ssh was vlt. noch interessant ist, ist folgendes:

$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
Seitenanfang Seitenende
21.10.2010, 14:43
Member
Avatar Xeper

Beiträge: 5291
#4 Nach meiner Meinung sind deine Regeln viel zu restriktiv, ich denke du musst mal die Basics wälzen dann kommste scho selber dahinter wo's hakt.

Will mal anmerken das es klar ist das es am output liegt weil du dir das ja selber schon bewiesen hast, du musst halt die ausgehenden Verbindungspakete ebenfalls zu lassen - dafür gabs glaub ich sowas wie conntrack.
Bin aber bissl aus Linux netfilter raus, da ich im mom nur noch OBSDs pf nutze.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
22.10.2010, 16:56
Member

Beiträge: 27
#5 Ich kann mich da nur anschließen: Welches Script verwendest du?

Problematisch:
$IPTABLES -P OUTPUT DROP
Wenn du nun alle output regeln löschst, geht garnichtsmehr raus!

Sofern du einen server hast, auf den du nicht als normaluser arbeitest, kannst du getrost auf den outputfilter verzichten und alles nach draußen zulassen:
$IPTABLES -P OUTPUT ACCEPT

Aber zum speziellem Probelm:
TFTP ist ein verbindungsloser FTP Dienst. Wenn dein Server über UDP antwortet ist dies nicht related sonder NEW, da pro verbindung ein neuer port zur Kommunikation gewält wird (Um die Aknowlage packete eindeutig zuorden zu können). Da dein packetfiler die Combination der beiden UDP Ports nicht kennt, ist das erste packet new, nicht related.

Wenn du jedoch "new" mit aufnimst kannst du alle outputregelungen vergessen, dann ist alles offen und verbraucht maximal rechenzeit ;-)

Deshalb auch mein Rat: vergiss den outputfilter ... oder poste mal alles dann können mir mal gucken
Oder:
Füge folgende Zeile hinzu um NUR neue udp verbindungen nach draußen zuzulassen:
$IPTABLES -A OUTPUT -p udp -m state --state NEW -j ACCEPT
Dieser Beitrag wurde am 22.10.2010 um 17:12 Uhr von Waldemar1 editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: