[solved (aber bitte nochmal PS beachten)] iptable rules fuer subinterfaces

FreeBSD, Gentoo, openSUSE, CentOS, Ubuntu, Debian
phuel
Posts: 5
Joined: 2003-10-17 13:50

[solved (aber bitte nochmal PS beachten)] iptable rules fuer subinterfaces

Post by phuel » 2007-01-13 19:10

Moin moin ;)

Problem:
Hetzner RootServer -> 1 (Haupt-) IP Adresse + extra Subnet

Der Apache unterscheidet je nach dem welche IP Adresse aufgerufen wird, was angezeigt wird.

iptables sind default auf drop gesetz und ich wuerde jetzt gerne wieder den apache erreichbar machen.

Mit der HauptIP hat das bereits funktioniert:

Code: Select all

iptables -A INPUT -i eth0 -m state --state NEW,ESTABLISHED,RELATED 
 -p tcp -s 0/0 -d 123.456.789.012 --dport 80 -j ACCEPT
Mit den IPs aus den Subnetzen funktioniert es leider nicht da sowohl:

Code: Select all

iptables -A INPUT -i eth0:1 -m state --state NEW,ESTABLISHED,RELATED 
 -p tcp -s 0/0 -d 123.456.789.013 --dport 80 -j ACCEPT

Warning: weird character in interface `eth0:1' (No aliases, :, ! or *).
als auch:

Code: Select all

iptables -A INPUT -i eth0 -m state --state NEW,ESTABLISHED,RELATED 
 -p tcp -s 0/0 -d 123.456.789.013 --dport 80 -j ACCEPT
zu keinem funktierenden Ergebnis fuehrt.

Jemand vielleicht eine Idee woran das liegt?
Danke ;)
Last edited by phuel on 2007-01-26 18:42, edited 1 time in total.

Roger Wilco
Administrator
Administrator
Posts: 6001
Joined: 2004-05-23 12:53

Re: iptable rules fuer subinterfaces

Post by Roger Wilco » 2007-01-13 19:23

phuel wrote:Warning: weird character in interface `eth0:1' (No aliases, :, ! or *).
Probier es doch einfach nur mit der Ziel-IP (über -d) und dem Interface "eth0".

phuel
Posts: 5
Joined: 2003-10-17 13:50

Re: [solved (aber bitte nochmal PS beachten)] iptable rules fuer subinterfaces

Post by phuel » 2007-01-13 19:44

siehe Punkt "als auch:" ;)
funktioniert leider auch nicht

Roger Wilco
Administrator
Administrator
Posts: 6001
Joined: 2004-05-23 12:53

Re: [solved (aber bitte nochmal PS beachten)] iptable rules fuer subinterfaces

Post by Roger Wilco » 2007-01-13 19:50

Code: Select all

iptables -L

phuel
Posts: 5
Joined: 2003-10-17 13:50

Re: [solved (aber bitte nochmal PS beachten)] iptable rules fuer subinterfaces

Post by phuel » 2007-01-15 13:48

Code: Select all

iptables -L

Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     tcp  --  anywhere             HAUPT-IP     state NEW,RELATED,ESTABLISHED tcp dpt:ssh
ACCEPT     tcp  --  anywhere             HAUPT-IP     state NEW,RELATED,ESTABLISHED tcp dpt:www
ACCEPT     tcp  --  anywhere             static.XXX-XXX-XXX-XXX.clients.your-server.de state NEW,RELATED,ESTABLISHED tcp dpt:www
ACCEPT     all  --  10.8.1.0/24          anywhere
drop-and-log-it  all  --  10.8.1.0/24          anywhere
DROP       all  --  HAUPT-IP      anywhere
DROP       all  --  127.0.0.0/8          anywhere
ACCEPT     icmp --  10.8.1.0/24          10.8.1.1
ACCEPT     tcp  --  anywhere             HAUPT-IP     state NEW,RELATED,ESTABLISHED tcp dpt:rfe
ACCEPT     icmp --  ZWEITER-SERVER  anywhere            icmp echo-request
ACCEPT     icmp --  anywhere             anywhere            icmp fragmentation-needed
ACCEPT     icmp --  anywhere             anywhere            icmp parameter-problem
ACCEPT     all  --  anywhere             HAUPT-IP     state RELATED,ESTABLISHED

Chain FORWARD (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere
drop-and-log-it  all  --  anywhere             anywhere

Chain OUTPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  HAUPT-IP      10.8.1.0/24
ACCEPT     all  --  10.8.1.1             10.8.1.0/24
ACCEPT     icmp --  10.8.1.1             10.8.1.0/24
ACCEPT     icmp --  anywhere             ZWEITER-SERVER icmp echo-reply
ACCEPT     icmp --  anywhere             anywhere            icmp fragmentation-needed
ACCEPT     icmp --  anywhere             anywhere            icmp parameter-problem
drop-and-log-it  all  --  anywhere             10.8.1.0/24
ACCEPT     all  --  HAUPT-IP      anywhere

Chain drop-and-log-it (3 references)
target     prot opt source               destination
LOG        all  --  anywhere             anywhere            LOG level info
DROP       all  --  anywhere             anywhere
PS: wie bekomme ich die genauen regeln herraus (inkl. ports)
mit

Code: Select all

iptables -vL
werden die einzelen ports nicht gelistet

eof__
Posts: 30
Joined: 2005-07-12 17:40

Re: [solved (aber bitte nochmal PS beachten)] iptable rules fuer subinterfaces

Post by eof__ » 2007-01-19 22:36

dpt:ssh ist zum. Beispiel Destination Port 22.

Probier mal iptables -L -n -v

phuel
Posts: 5
Joined: 2003-10-17 13:50

[solved] (aber das PS ist immer noch offen ;))

Post by phuel » 2007-01-26 15:16

soooo das Problem besteht immernoch ;)

Mir kam die Idee, ob es vielleicht etwas mit dem "internen" routing zu tun haben koennte...

/etc/networking/interfaces

Code: Select all

# Loopback device:
auto lo
iface lo inet loopback

# device: eth0
auto eth0
iface eth0 inet static
address 88.198.XX.XX
broadcast 88.198.XX.XX
netmask 255.255.255.224
gateway 88.198.XX.XX

auto eth0:1
iface eth0:1 inet static
address 88.198.XX.XX
broadcast 88.198.XX.XX
netmask 255.255.255.248
Muss ich da noch etwas hinzufuegen?

PS: Wie "sinnvoll" ist es auf einem privat genutztem Server OUTPUT default auf DROP zu setzen?