Problem mit Firewall (IPTABLES) und manchen InetSeiten

[renaldo]

hi!

hab mir einen dsl-router auf redhat 8.0 basis aufgebaut. als firewall fungieren iptables...

jetzt habe ich nur ein kleines problem. und zwar kann ich manche seiten im inet aufrufen und manche wiederum nicht. z.B.

auf www.heise.de | www.fachinformatiker.de | und noch ein paar seiten komme ich ohne probleme drauf.

aber auf www.google.de | www.gmx.de | www.einslive.de komme ich nicht drauf. jedoch kann ich diese seiten anpingen...geben mir auch immer eine rueckmeldung.

auf den clients sind die t-online dns server 212.185.249.50 und 194.25.2.129 eingetragen.

das script fuer die iptables sieht folgendermassen aus:

#!/bin/sh

#

#----------------------------------------------------------------------------

# Abschnitt I : Laden der Module

#----------------------------------------------------------------------------

/sbin/modprobe ip_tables

/sbin/modprobe ip_conntrack

/sbin/modprobe ip_conntrack_ftp

/sbin/modprobe ip_conntrack_irc

/sbin/modprobe iptable_nat

/sbin/modprobe ip_nat_ftp

echo "1" > /proc/sys/net/ipv4/ip_forward

echo "1" > /proc/sys/net/ipv4/ip_dynaddr

#

#----------------------------------------------------------------------------

# Abschnitt II : bisherige Regeln löschen und neue Standard-Policy setzen :

#----------------------------------------------------------------------------

iptables -F

iptables -F -t nat

iptables -P INPUT ACCEPT

iptables -P FORWARD ACCEPT

iptables -P OUTPUT ACCEPT

#

#----------------------------------------------------------------------------

# Abschnitt III : allgemeine Regeln

#----------------------------------------------------------------------------

# dns (Domain Name Server) - Auflösung von Domainnamen in IP-Adressen

iptables -A OUTPUT -p udp --sport 1024: --dport 53 -j ACCEPT

iptables -A INPUT -p udp -s 212.185.249.50 --sport 53 --dport 1024: -j ACCEPT

iptables -A OUTPUT -p udp --sport 1024: --dport 53 -j ACCEPT

iptables -A INPUT -p udp -s 194.25.2.129 --sport 53 --dport 1024: -j ACCEPT

iptables -A OUTPUT -p tcp --sport 1024: --dport 53 -j ACCEPT

iptables -A INPUT -p tcp -s 212.185.249.50 --sport 53 --dport 1024: ! --syn -j ACCEPT

iptables -A OUTPUT -p tcp --sport 1024: --dport 53 -j ACCEPT

iptables -A INPUT -p tcp -s 194.25.2.129 --sport 53 --dport 1024: ! --syn -j ACCEPT

# http ( Hyper Text Transfer Protokol ) - browsen im www

#iptables -A OUTPUT -p tcp --sport 1024: --dport 80 -j ACCEPT

#iptables -A INPUT -p tcp --sport 80 --dport 1024: ! --syn -j ACCEPT

#

# https ( Hyper Text Transfer Protokol Security ) - sicheres browsen im www(

#iptables -A OUTPUT -p tcp --sport 1024: --dport 443 -j ACCEPT

#iptables -A INPUT -p tcp --sport 443 --dport 1024: ! --syn -j ACCEPT

#

# loopback network interface

iptables -A INPUT -i lo -j ACCEPT

iptables -A OUTPUT -o lo -j ACCEPT

#--------------------------------------------------------------------------

# Abschnitt IV : erweiterte Regeln

#----------------------------------------------------------------------------

# smtp ( Simple Mail Transfer Protokol ) - e-mail versenden

iptables -A OUTPUT -p tcp --sport 1024: --dport 25 -j ACCEPT

iptables -A INPUT -p tcp --sport 25 --dport 1024: ! --syn -j ACCEPT

# pop3 ( Post Office Protokoll 3 ) - e-mail empfangen

iptables -A OUTPUT -p tcp --sport 1024: --dport 110 -j ACCEPT

iptables -A INPUT -p tcp --sport 110 --dport 1024: ! --syn -j ACCEPT

# realplayer - Real Audio halt

iptables -A INPUT -p tcp --sport 554 --dport 1024: ! --syn -j ACCEPT

iptables -A INPUT -p udp --dport 7070 -j ACCEPT

iptables -A OUTPUT -p tcp --sport 1024: --dport 554 -j ACCEPT

#

#---------------------------------------------------------------------------

# Abschnitt V : ICMP-Einstellungen

#---------------------------------------------------------------------------

# icmp ping - ping eben - Netzwerk-Managment

iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT

iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT

iptables -A FORWARD -o ppp0 -p icmp --icmp-type echo-request -j ACCEPT

iptables -A FORWARD -i ppp0 -p icmp --icmp-type echo-reply -j ACCEPT

#

# icmp destination unreachables - Netzwerk-Managment

iptables -A OUTPUT -p icmp --icmp-type destination-unreachable -j ACCEPT

iptables -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT

iptables -A FORWARD -o ppp0 -p icmp --icmp-type destination-unreachable -j ACCEPT

iptables -A FORWARD -i ppp0 -p icmp --icmp-type destination-unreachable -j ACCEPT

#

# icmp source-quench - Netzwerk-Managment

iptables -A INPUT -p icmp --icmp-type source-quench -j ACCEPT

iptables -A FORWARD -i ppp0 -p icmp --icmp-type source-quench -j ACCEPT

#

# icmp time-exceeded - Netzwerk-Managment

iptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT

iptables -A FORWARD -i ppp0 -p icmp --icmp-type time-exceeded -j ACCEPT

# icmp parameter-problem - Netzwerk-Managment

iptables -A INPUT -p icmp --icmp-type parameter-problem -j ACCEPT

iptables -A FORWARD -i ppp0 -p icmp --icmp-type parameter-problem -j ACCEPT

# externe netbios-Anfrage ( Network Basic Input/Output System ) - gib Windows keine Chance !

iptables -A INPUT -p udp --dport netbios-ns -j DROP

iptables -A INPUT -p udp --dport netbios-dgm -j DROP

iptables -A INPUT -p tcp --dport netbios-ssn -j DROP

iptables -A FORWARD -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

#--------------------------------------------------------------------------

# Abschnitt VII : abschließende Regeln

#--------------------------------------------------------------------------

# alles andere loggen

#iptables -A INPUT -j LOG

#iptables -A OUTPUT -j LOG

#

# ftp identifikation

iptables -A INPUT -p tcp --dport auth -j REJECT --reject-with tcp-reset

iptables -A FORWARD -i ppp0 -p tcp --dport auth -j REJECT --reject-with tcp-reset

# restliche eintreffende Pakete verwerfen

iptables -A INPUT -j DROP

# Fehlermeldungen an Programme

iptables -A OUTPUT -p tcp -j REJECT --reject-with tcp-reset

iptables -A OUTPUT -p udp -j REJECT

iptables -A OUTPUT -j DROP

wenn noch fragen sind dann bitte melden...

wenn mir jemand helfen kann waere natuerlich noch besser

[hades]

Welchen Zugang hast Du, analoges Modem, ISDN oder TDSL?

Funktioniert der Zugriff ohne aktivierte iptables?

[renaldo]

Originally posted by renaldo

hi!

hab mir einen dsl-router auf redhat 8.0 basis aufgebaut. als firewall fungieren iptables...

is dsl...hmm, ohne alles hab ich bisher noch nix zum laufen bekommen...

[Hawkeye]

Wie sieht es mit Deiner MTU und MRU aus? Stehen die weiterhin auf 1500 Byte oder hast Du sie auf 1492 eingestellt?

[hades]

Das ist kein Problem mit der Firewall, sondern ein Problem der MTU (Maximum Transmission Unit):

Ethernet hat als MTU 1500, TDSL 1492.

[renaldo]

die stehen auf 1492, jep....

[hades]

Originally posted by renaldo

is dsl...hmm, ohne alles hab ich bisher noch nix zum laufen bekommen...

Ich fragte, weil Du einen DSL-Router meist auch fuer ISDN nutzen kannst.

Auch ist in vielen DSL-Routern ein Fallback (falls DSL ausfaellt, wird die angegebene Alternative genommen) auf ISDN konfiguriert.

[Hawkeye]

Originally posted by hades

Das ist kein Problem mit der Firewall, sondern ein Problem der MTU (Maximum Transmission Unit):

Ethernet hat als MTU 1500, TDSL 1492.

Empfiehlt T-Online nicht sogar eine noch kleinere MTU? Ein Kollege von mir hat T-Online und ihm wurde empfohlen auf 1452 zu gehen...

[renaldo]

Originally posted by hades

Ich fragte, weil Du einen DSL-Router meist auch fuer ISDN nutzen kannst.

Auch ist in vielen DSL-Routern ein Fallback (falls DSL ausfaellt, wird die angegebene Alternative genommen) auf ISDN konfiguriert.

ne, also so eine garantie fuer meine inet verbindung brauche ich nich hab aber auch nix von wegen isdn etc eingestellt...

das problem is ja nich das er nich routet etc, nur das manche seiten nich aufgerufen werden koennen. icq funzt auf allen clients bestens...

[hades]

Originally posted by Hawkeye

Empfiehlt T-Online nicht sogar eine noch kleinere MTU? Ein Kollege von mir hat T-Online und ihm wurde empfohlen auf 1452 zu gehen...

1492 ist die Standard-MTU fuer DSL.

Wenn bei einigen Webseiten auch mit 1492 Probleme auftauchen, waehle einen kleineren Wert.

[renaldo]

ich probiere mal die 1452 aus...auf fachinformatiker.de komme ich ja... bis gleich dann

[renaldo]

so, hab jetzt mal die 1452 eingetragen, soll ich die eigentlich bei mru und mtu eintragen? hab sie jetzt erstmal bei mtu eingetragen...

aber leider funzt es immer noch nich richtig...

[hades]

Bei beiden.

Die MRU ist die Maximum Receive Unit.

[renaldo]

ok, funzt aber auch dann net wirklich....liegt das vielleicht oben an dem script?

aber danke schonmal fuer die muehen

[hades]

Schalte testweise die Firewall aus und versuche es nochmal.

Auch ueber ping, traceroute sowie ueber nslookup sollten die Seiten erreichbar sein.

[renaldo]

das is ja das prob. die seiten koennen alle angepingt werden...nur leider nich per browser aufgerufen werden. auch nich ueber die ip...

werde die firewall gleich mal ausschalten

edit: auch mit ausgeschalteten regeln funktioniert das nich. oder soll ich iptables kommplet ausschalten? hab jetzt nur mal alle regeln per iptables -F geloescht

[hades]

iptables komplett ausschalten, mit dem Loeschen der Regeln blockierst Du alles.

[renaldo]

darf ich mal bloed fragen wie man die iptables kommplett ausschaltet?

[hades]

Manuelles Ausschalten:

/etc/init.d/iptables stop

Kein Start beim Booten:

chkconfig --level 35 iptables off

Manuelles Anschalten:

/etc/init.d/iptables start

Beim Booten starten:

chkconfig --level 35 iptables on

(Getestet auf RedHat8.0)

[renaldo]

das passt ja prima, nutze ja auch redhat 8.0

ne, mit ausgeschalteten iptables geht gar nix mehr...hab auch mal die mtu der eth0 und eth1 auf 1492 gestellt...aber irgendwie geht das nich wirklich dolle

[hades]

huch... ganz uebersehen, dass im Startskript die Routerfunktionalitaet eingeschaltet und im Stopskript wieder deaktiviert wird.

Setze diese Eintraege:

echo "1" > /proc/sys/net/ipv4/ip_forward

echo "1" > /proc/sys/net/ipv4/ip_dynaddr

per Hand.

Dann sollte es ohne iptables gehen.

[renaldo]

werde dir morgen frueh direkt bescheid sagen ob es funktioniert...kann dann erst wieder an den dsl anschluss

[renaldo]

schade eigentlich, aber nur mit dem echo "1" > ... funktioniert das auch nich...

zumindest hab ich das nich ans laufen bekommen

also, wer noch ideen hat, bin fuer alles offen

[Herr-der-Mails]

Dein Script ist elementar falsch.

Korrigier wenn ich was überlesen habe, aber du sagtest du baust aus einem PC einen Router.

Dieser muss dann mindestens 2 Netzwerkkarten besitzen. Eine, als Interface nach draußen und eine Zweite, als Interface fürs interne LAN.

Die beiden Interfaces heißen üblicherweise eth0 und eth1.

In deinem ganzen Script habe ich aber nicht einen einzigen Eintrag zu den Interfaces gesehen. Das bedeutet bei Iptables, dass alle Regeln für beide Interfaces gelten und das willst du ja nicht, weils sinnlos ist.

Über Klamotten wie MTU brauchst du dir keine Gedanken machen, bei jedem Verbingsaufbau mit einem Webserver handelt Linux die MTU Größe jedes mal neu aus.

Dein Script ist also einfach nur falsch.

Herr-der-Mails

[renaldo]

wenn das einfach nur falsch ist dann bitte ich dir mir doch zu helfen?!?!?!?

hab doch gesagt, bin fuer jeden tipp dankbar. zum groessten teil funzt das aber alles. nur leider nich bei google.de | gmx.de | und noch ein paar anderen seiten.

pingen kann ich die seiten (bis auf gmx.de, die firewall bei denen untersagt es auch), aufrufen nicht!

dass alle Regeln für beide Interfaces gelten und das willst du ja nicht, weils sinnlos ist.

warum will ich das nich? darf ich nich verbieten das jemand hinter dem router, also im lan, "mist" baut?!?!? denke doch das ich das darf...

wenn es sinnlos ist, dann erklaer mir es bitte...danke...