RootForum Community

Resources for System-Administrators
https://www.rootforum.org/forum/

[solved (aber bitte nochmal PS beachten)] iptable rules fuer subinterfaces

https://www.rootforum.org/forum/viewtopic.php?t=44297

Page 1 of 1

[solved (aber bitte nochmal PS beachten)] iptable rules fuer subinterfaces

Posted: 2007-01-13 19:10
by phuel
Moin moin ;)

Problem:
Hetzner RootServer -> 1 (Haupt-) IP Adresse + extra Subnet

Der Apache unterscheidet je nach dem welche IP Adresse aufgerufen wird, was angezeigt wird.

iptables sind default auf drop gesetz und ich wuerde jetzt gerne wieder den apache erreichbar machen.

Mit der HauptIP hat das bereits funktioniert:

Code: Select all

iptables -A INPUT -i eth0 -m state --state NEW,ESTABLISHED,RELATED 
 -p tcp -s 0/0 -d 123.456.789.012 --dport 80 -j ACCEPT
Mit den IPs aus den Subnetzen funktioniert es leider nicht da sowohl:

Code: Select all

iptables -A INPUT -i eth0:1 -m state --state NEW,ESTABLISHED,RELATED 
 -p tcp -s 0/0 -d 123.456.789.013 --dport 80 -j ACCEPT

Warning: weird character in interface `eth0:1' (No aliases, :, ! or *).
als auch:

Code: Select all

iptables -A INPUT -i eth0 -m state --state NEW,ESTABLISHED,RELATED 
 -p tcp -s 0/0 -d 123.456.789.013 --dport 80 -j ACCEPT
zu keinem funktierenden Ergebnis fuehrt.

Jemand vielleicht eine Idee woran das liegt?
Danke ;)

Re: iptable rules fuer subinterfaces

Posted: 2007-01-13 19:23
by Roger Wilco
phuel wrote:Warning: weird character in interface `eth0:1' (No aliases, :, ! or *).
Probier es doch einfach nur mit der Ziel-IP (über -d) und dem Interface "eth0".

Re: [solved (aber bitte nochmal PS beachten)] iptable rules fuer subinterfaces

Posted: 2007-01-13 19:44
by phuel
siehe Punkt "als auch:" ;)
funktioniert leider auch nicht

Re: [solved (aber bitte nochmal PS beachten)] iptable rules fuer subinterfaces

Posted: 2007-01-13 19:50
by Roger Wilco

Code: Select all

iptables -L

Re: [solved (aber bitte nochmal PS beachten)] iptable rules fuer subinterfaces

Posted: 2007-01-15 13:48
by phuel

Code: Select all

iptables -L

Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     tcp  --  anywhere             HAUPT-IP     state NEW,RELATED,ESTABLISHED tcp dpt:ssh
ACCEPT     tcp  --  anywhere             HAUPT-IP     state NEW,RELATED,ESTABLISHED tcp dpt:www
ACCEPT     tcp  --  anywhere             static.XXX-XXX-XXX-XXX.clients.your-server.de state NEW,RELATED,ESTABLISHED tcp dpt:www
ACCEPT     all  --  10.8.1.0/24          anywhere
drop-and-log-it  all  --  10.8.1.0/24          anywhere
DROP       all  --  HAUPT-IP      anywhere
DROP       all  --  127.0.0.0/8          anywhere
ACCEPT     icmp --  10.8.1.0/24          10.8.1.1
ACCEPT     tcp  --  anywhere             HAUPT-IP     state NEW,RELATED,ESTABLISHED tcp dpt:rfe
ACCEPT     icmp --  ZWEITER-SERVER  anywhere            icmp echo-request
ACCEPT     icmp --  anywhere             anywhere            icmp fragmentation-needed
ACCEPT     icmp --  anywhere             anywhere            icmp parameter-problem
ACCEPT     all  --  anywhere             HAUPT-IP     state RELATED,ESTABLISHED

Chain FORWARD (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere
drop-and-log-it  all  --  anywhere             anywhere

Chain OUTPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  HAUPT-IP      10.8.1.0/24
ACCEPT     all  --  10.8.1.1             10.8.1.0/24
ACCEPT     icmp --  10.8.1.1             10.8.1.0/24
ACCEPT     icmp --  anywhere             ZWEITER-SERVER icmp echo-reply
ACCEPT     icmp --  anywhere             anywhere            icmp fragmentation-needed
ACCEPT     icmp --  anywhere             anywhere            icmp parameter-problem
drop-and-log-it  all  --  anywhere             10.8.1.0/24
ACCEPT     all  --  HAUPT-IP      anywhere

Chain drop-and-log-it (3 references)
target     prot opt source               destination
LOG        all  --  anywhere             anywhere            LOG level info
DROP       all  --  anywhere             anywhere
PS: wie bekomme ich die genauen regeln herraus (inkl. ports)
mit

Code: Select all

iptables -vL
werden die einzelen ports nicht gelistet

Re: [solved (aber bitte nochmal PS beachten)] iptable rules fuer subinterfaces

Posted: 2007-01-19 22:36
by eof__
dpt:ssh ist zum. Beispiel Destination Port 22.

Probier mal iptables -L -n -v

[solved] (aber das PS ist immer noch offen ;))

Posted: 2007-01-26 15:16
by phuel
soooo das Problem besteht immernoch ;)

Mir kam die Idee, ob es vielleicht etwas mit dem "internen" routing zu tun haben koennte...

/etc/networking/interfaces

Code: Select all

# Loopback device:
auto lo
iface lo inet loopback

# device: eth0
auto eth0
iface eth0 inet static
address 88.198.XX.XX
broadcast 88.198.XX.XX
netmask 255.255.255.224
gateway 88.198.XX.XX

auto eth0:1
iface eth0:1 inet static
address 88.198.XX.XX
broadcast 88.198.XX.XX
netmask 255.255.255.248
Muss ich da noch etwas hinzufuegen?

PS: Wie "sinnvoll" ist es auf einem privat genutztem Server OUTPUT default auf DROP zu setzen?
All times are UTC+01:00
Page 1 of 1