[Problem] 7270 Iptables: Rules werden nicht beachtet/funktionieren nicht

Status
Für weitere Antworten geschlossen.

vel_tins

Mitglied
Mitglied seit
27 Mai 2005
Beiträge
353
Punkte für Reaktionen
0
Punkte
16
Ich habe folgende Regel erstellt um google.de (testweise) zu blockieren.
Code:
iptables -A OUTPUT -s 0.0.0.0/0 -d www.google.de -p tcp --dport 80 -j REJECT
iptables --list
Code:
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
REJECT     tcp  --  anywhere             nx-in-f104.1e100.net tcp dpt:80 reject-with icmp-port-unreachable
REJECT     tcp  --  anywhere             nx-in-f106.1e100.net tcp dpt:80 reject-with icmp-port-unreachable
REJECT     tcp  --  anywhere             nx-in-f103.1e100.net tcp dpt:80 reject-with icmp-port-unreachable
REJECT     tcp  --  anywhere             nx-in-f147.1e100.net tcp dpt:80 reject-with icmp-port-unreachable
REJECT     tcp  --  anywhere             nx-in-f99.1e100.net tcp dpt:80 reject-with icmp-port-unreachable
REJECT     tcp  --  anywhere             nx-in-f105.1e100.net tcp dpt:80 reject-with icmp-port-unreachable
Damit sollte google.de eigentlich nicht aufrufbar sein.
Die gleiche Regel, getestet unter Ubuntu, funktioniert einwandfrei.
Die FB scheint die Regeln allerdings zu ignorieren, google.de ist weiterhin zu erreichen.
Was läuft da falsch?
EDIT: Ich habe es auch schon mit DROP anstelle REJECT probiert, das gleiche Resultat.
 
Zuletzt bearbeitet:
Die erste Regel, wenn Du eine vermeintlichen Fehler berichtest, schreib genau, was passiert. Insbesondere, beschreibe die Tatsachen, nicht Deine Schlussfolgerungen.

In diesem Fall schreibst Du, "Die FB scheint die Regeln allerdings zu ignorieren". Wie kommst Du zu diesem Ergebnis?

Ich habe eine konkrete Vermutung, aber es kommt darauf an, was bei Dir tatsächlich passiert. Wenn es stimmt, solltest Du die Beschreibung zu iptables nochmal aufmerksam durchlesen.
 
Ich schrieb genau genommen:
Die FB scheint die Regeln allerdings zu ignorieren, google.de ist weiterhin zu erreichen.
Und wie gesagt, die gleiche Regel funktioniert auf einer Ubuntu Maschine. Dort ist google.de nicht mehr zu erreichen.

EDIT: ich habe zu Testzwecken, die Regel sowohl manuell über telnet als auch über CGI bzw. Nhipt erstellt.
(Nacheinander natürlich). trotzdem können alle FB Clienten auf google.de zugreifen.
 
Zuletzt bearbeitet:
von den, an die FB per Lan/Wlan angeschlossenen Rechnern..
 
Das hatte ich bereits vermutet, und das ist der entscheidende Unterschied zwischen dem Ubuntu, auf dem Du es getestet hast, und der Box. Wenn Du es von der Box aus probieren würdest, würde die Regel auch angewendet werden.

Ich bleibe also bei der Empfehlung aus #2, die Beschreibung zu iptables nochmal durchzulesen.
 
Für die ist die FORWARD chain der Box zuständig und nicht die OUTPUT chain.
Danke für den Hinweis.
Zu dem vorletzten Post sage ich besser nichts..
Es gibt hier tatsächlich noch echte Hilfe und nicht nur überhebliches blabla a'la "rtfm, etc.."
Leider wird dieses Verhalten in diesem Forum in letzter Zeit immer ausgeprägter, speziell im Freetz Subforum.
Scheinbar halten sich gewisse Personen für die "elitäre Freetz-Oberschicht mit Herrschaftswissen" und statt dem gemeinen "Fußvolk", einfach den entscheidenden Tipp zu geben, werden lieber mehrere nutzlose Posts abgesondert.
Ich bin auch nicht erst seit gestern dabei und frage erst dann, wenn ich nach dem lesen von diversen man-pages, Foren Beiträgen, etc. pp, feststecke.
Da helfen mir dann nutzlose Sprüche auch nicht weiter.
Früher wars mal echt nett hier, aber mittlerweile werden viele Anfragen nur noch zur Quälerei, s.o..
Nicht jeder hat die FB als seinen Lebensinhalt auserkoren...Manche wollen einfach nur die Funktionen nutzen!
Sorry, das war jetzt OT, mußte aber mal raus.
 
Zuletzt bearbeitet:
Es gibt praktischerweise ein Manual zu iptables. Und darin steht:
The tables are as follows:
filter:
This is the default table (if no -t option is passed). It contains the built-in chains INPUT (for packets coming into the box itself), FORWARD (for packets being routed through the box), and OUTPUT (for locally-generated packets).
Hast Du also alles mögliche gelesen, nur das nicht?
 
Du kannst, oder willst es nicht verstehen oder?
Ich bin wahrscheinlich nicht ganz so unfehlbar wie du.
Manche Sachen sind vielleicht für "normalsterbliche" zuerst unverständlich oder werden falsch interpretiert.
Dafür sollte eigentlich ein Forum wie dieses da sein, um solche Sachen zu (er)klären.
Ich hoffe nur für Dich, das du beim nächsten Arzt/Werkstatt/wasauchimmer Besuch, kein Buch/man-page/Google-Link vorgelegt bekommst, mit dem Hinweis: Ich vermute schon was nicht stimmt, aber lies und hilf Dir selbst.
"Wie, Du hast es nicht kapiert? Dann lies halt das manual nochmal, oder richtig"
PS: welchen Zacken hätte es Dir aus der Krone gebrochen, mir den passenden Tipp zu geben, da Du ja schon im ersten Post "vermutet" hast, was schief läuft?
Aber ok, ich geb auf..du hast gewonnen.
Nichts für ungut, aber für mich ist das Thema jetzt erledigt.
 
Evtl. Hilft dir dieses Diagramm.

BTW. ich glaube er wollte dich nicht "anpissen", sondern dir sagen dass du anstatt ein vage Beschreibung zu geben eine exaktere Beschreibung zu geben in der steht, was du genau getan hast, was du erwartest, was passiert und was du gelesen hast. Siehe Ralf's Post #2t.

Was du getan hast hast du beschrieben in #1.
Was du erwartest und was passiert hast du schwammig beschrieben, da nicht klar war auf welchem Client du es probiert hast und ist erst nach #5 klar geworden.

Ralf ist nur diagnostisch vorgegangen, da
askklaus.png
und evtl. in einer Wortwahl/Ton die bei nicht so erfahrende Leute "aneckt".
Du hast aber auch nicht bedachter geantwortet.
 
Evtl. Hilft dir dieses Diagramm.
.....................
Was du getan hast hast du beschrieben in #1.
Was du erwartest und was passiert hast du schwammig beschrieben, da nicht klar war auf welchem Client du es probiert hast und ist erst nach #5 klar geworden.
.....................
das Diagramm hilft mir nicht wirklich weiter, sondern verwirrt mich eher..;)
Aber egal, dank des Tips von sf3978, funktioniert es ja jetzt.
PS: und was war die Antwort auf #5? Lies die Beschreibung.......wirklich "hilfreich", zumal ich den entsprechenden Abschnitt des Freetz Wikis bestimmt schon dreimal gelesen hatte.
Vielleicht falsch verstanden/interpretiert/übersehen/zu dämlich/was auch immer?
Naja, gut das es auch anders geht, siehe #7. So einfach kanns sein.
PPS: Da ich im Ausland lebe und arbeite, bin ich von unserer "german/austrian/swiss community" vielleicht zu verwöhnt.
Hier hilft man sich bei Problemen nämlich gegenseitig, teilt sein Wissen und Erfahrungen, und verweist sein Gegenüber nicht auf Google/manuals oder ähnliches.
Ansonsten bist Du mit solch einer "schulmeisterlichen und besserwisserischen Art" im realen Leben namlich ganz schnell weg von der Bildfläche. Und das ist auch gut so!
 
Ich denke das Thema ist abgehandelt...

Gruß
Olive
 
Status
Für weitere Antworten geschlossen.
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.