VPN und IPTables

[centro]

Nochmals VPN! :lol:


Mein VPN läuft super, nur leider nur mit ausgeschalteten IP Tables.

Ich habe die Einstellungen schon auf verschiedenen Ports ausgetestet, aber keine Chance.

Die VPN Verbindung kommt zustande und unter Windoof sieht man das eine Netzwerkverbindung (VPN) verfügbar ist.

Mach ich jetzt einen Ping an die 10.8.0.1 dann kommt nur Zeitüberschreitung!

Jemand nen Tipp?


Siehe auch dieser Thread: http://www.linux-club.de/viewtopic.php?p=418497#418497

Is anscheinend ein klassiker!
IP Tables dauerhaft aus ist fast nicht möglich!


Greetz Centro

[Roger Wilco]

http://openvpn.net/faq.html#firewall

[centro]

THX für den Link!

Du wirst es nicht glauben: ICh brings nicht hin! - keinen Plan wieso!

hab die IP-Tables Regeln alle reingehackt und die Kiste hats auch angenommen. Ein neustart der Firewall sowie ein Reboot der gesamten Kiste hats auch nicht gebracht!

VPN Verbindung steht und mehr nicht. Hab auch den Client neugestartet und nochmals auf Port 1194 gewechselt. Alles ohne Erfolg!


Greetz Centro

[elch_mg]

Statt uns hier Tabellen raten zu lassen: Zeig doch mal die Regeln, die du momentan laufen hast. Und beachte

Code: Select all

iptables -v ...

, damit auch die Interfaces angezeigt werden.

Anzeigen geht übrigens mit

Code: Select all

iptables -L

, aber das wird dir die man-page noch genauer erläutern.

[centro]

okey dann mal hier die List

:EDIT: Hier die Liste mit iptables -v -L

Code: Select all

Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    2   100 ACCEPT     all  --  lo     any     anywhere             anywhere
16204 1587K ACCEPT     all  --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED
 1709  119K input_ext  all  --  eth0   any     anywhere             anywhere
    1    60 DROP       all  --  any    any     anywhere             anywhere

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 1 packets, 40 bytes)
 pkts bytes target     prot opt in     out     source               destination
    2   100 ACCEPT     all  --  any    lo      anywhere             anywhere
17916 2736K ACCEPT     all  --  any    any     anywhere             anywhere            state NEW,RELATED,ESTABLISHED
    1    40 LOG        all  --  any    any     anywhere             anywhere            limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-OUT-ERROR '

Chain forward_ext (0 references)
 pkts bytes target     prot opt in     out     source               destination

Chain input_ext (1 references)
 pkts bytes target     prot opt in     out     source               destination
  325 33904 DROP       all  --  any    any     anywhere             anywhere            PKTTYPE = broadcast
    0     0 ACCEPT     icmp --  any    any     anywhere             anywhere            icmp source-quench
    0     0 ACCEPT     icmp --  any    any     anywhere             anywhere            icmp echo-request
    0     0 ACCEPT     icmp --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED icmp echo-reply
    0     0 ACCEPT     icmp --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED icmp destination-unreachable
    0     0 ACCEPT     icmp --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED icmp time-exceeded
    0     0 ACCEPT     icmp --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED icmp parameter-problem
    0     0 ACCEPT     icmp --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED icmp timestamp-reply
    0     0 ACCEPT     icmp --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED icmp address-mask-reply
    0     0 ACCEPT     icmp --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED icmp protocol-unreachable
    0     0 ACCEPT     icmp --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED icmp redirect
 1366 81704 ACCEPT     tcp  --  any    any     anywhere             anywhere
   18  3427 ACCEPT     udp  --  any    any     anywhere             anywhere
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:pop3
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:openvpn
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:ftp
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:https
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:http
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:https
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:smtp
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:ssh
    0     0 reject_func  tcp  --  any    any     anywhere             anywhere            tcp dpt:ident state NEW
    0     0 ACCEPT     udp  --  any    any     anywhere             anywhere            udp dpt:openvpn
    0     0 DROP       all  --  any    any     anywhere             anywhere

Chain reject_func (1 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 REJECT     tcp  --  any    any     anywhere             anywhere            reject-with tcp-reset
    0     0 REJECT     udp  --  any    any     anywhere             anywhere            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  any    any     anywhere             anywhere            reject-with icmp-proto-unreachable

Code: Select all

iptables v1.3.1

[elch_mg]

zwischen iptables -V und iptables -v ... besteht ein Unterschied - ich meinte letzteres. Vielleicht hab ich mich nicht klar genug ausgedrückt ;)

Deine obige Ausgabe wäre aufschlussreicher, wenn du sie folgendermaßen ausgeführt hättest:

Code: Select all

iptables -v -L

Kannst du das noch nachholen, und die obige dann anpassen/löschen?

[centro]

Hab die liste schon erneuert!!

Hat keiner ne Idee? Ich werde aus der IPTables auflistung auch nicht schlauer!

Hmmm.... bitte um Rat!

[Roger Wilco]

Gegenfrage: Benötigst du netfilter wirklich?

[centro]

Gegenfrage: Benötigst du netfilter wirklich?

Netfilter? -- IPTables meinst du sicher, oder? :)

Sagen wirs mal so, ich denke das ichs brauch....

.... ich möchte einen SAMBA nur aufs VPN lauschen lassen... und da ich momentan noch nicht weis wie ich dem Samba sage das er keinesfalls auf die Anfragen von der Externen IP lauschen soll, denke ich das es besser ist wenn die Firewall erst mal komplett dicht ist!

Andere Vorschläge wärmstens erwünscht! :-D

Gibt nen Parameter in Samba bei dem ich sagen kann: Höre nur auf 10.10.10.1 bis 20 ??? Wie schreib ich das in die Config?


Greetz Centro

[elch_mg]

Falsche Reihenfolge: Du solltest dich erst informieren, wie du Samba deinen Wünschen entsprechend konfigurierst und es danach installieren, statt dann mit Netfilter herumzufuhrwerken..

iptables ist nur das Frontend für Netfilter - Richtig wiedergegeben?

[centro]

Falsche Reihenfolge: Du solltest dich erst informieren, wie du Samba deinen Wünschen entsprechend konfigurierst und es danach installieren, statt dann mit Netfilter herumzufuhrwerken..

Das denke ich jetzt mal absolut nicht... wenn ich den Samba installiere und gleich mal offen konfiguriere dann ist der ehe ich fertig bin gehackt. Deswegen wollte ich erst mal die Kiste Grundsätzlich zusperren das ich mit verschlossenen Türen die Kiste mal Starten kann und dann natürlich auch entsprechend konfigurieren kann.

Ein Konzept für den Samba Betrieb hab ich mir natürlich schon überlegt. Um das gehts glaub ich auch garnicht .....

... Allg. gesehen bringt mich dein Kommentar hier nicht weiter...

Bitte sehe das ganze doch mit deiner kompletten Kompetenz, glaub du hast schon Ahnung von der Sache hier... also gib mir doch Tipps und keine Rügen! :roll:


Greetz Centro

[Roger Wilco]

Den entscheidenden Tipp hat er dir schon gegeben: Informiere dich über die Dienste, die du einsetzt.

Samba lässt sich problemlos an eine bestimmtes Netzwerkinterface binden und hat schon eine Zugangskontrolle auf IP-Ebene eingebaut...

[elch_mg]

Als ob ich kompetent wäre...

Es spricht nichts dagegen, die Samba-Dokumentation durchzulesen soweit nötig, eine passende Konfiguration zu erstellen, und _dann_ den Server zu starten.
Was nervig sein könnte, wäre dann noch dass einige Paketmanagementsysteme Dienste automatisch nach der Installation starten. Wenn du aber vorher die Konfiguration erstellt hast, sollte dich das System deine Vertrauens bei der Installation fragen, ob es selbige verwenden soll...

Und im Übrigen gibts Testsysteme um sowas auszuprobieren ;)

[centro]

Und im Übrigen gibts Testsysteme um sowas auszuprobieren ;)

Sorry, aber wenn ich ehrlich bin weis ich nicht wie ich einen SAMBA hacken kann um zu testen obs sicher ist! :lol:

[elch_mg]

Sorry, aber das war so ziemlich die dümmste Ausrede, die mir bisher untergekommen ist in Bezug auf Testsysteme..

Du sollst dir auf dem Ding eine Konfiguration zusammenhacken! ;)

[centro]

Das ist mir schon klar......

Meine Frage bezieht sich ja nicht Grundsätzlich auf den Samba! ..

Hat nicht noch jemand nen Vorschlag zu der VPN Geschichte?