Problem mit DNS und IPTABLES auf Router

Anfänger

18.12.2005, 15:30

Hallo!!

Ich habe bei mir zuhause folgende Situation: DSL-Anschluss mehrere Rechner die ins Internet müssen und ich brauche einen Rechner der immer an ist um als Fileserver zu dienen. Also habe ich einen Rechner als Router geopfert und Gentoo drauf gemacht. Folgendes versuche ich zu realisieren mit dem Router:
- Routing der LAN-Rechner ins Internet
- Samba/FTP-Server
- mldonkey

Weil auch wichtiges Zeug auf dem Router liegt (Bewerbungen, Formulare,...) sollte er schon halbwegs sicher sein. Bis jetzt hatte ich mich an die Anleitung vom
Gentoo Home Router Howto gehalten, hat auch funktioniert bis jetzt, aber die verwenden bei den IPTABLES Reglen zB die Defaultpolicies "ACCEPT" das scheint mir nicht sooo sicher zusein.

Da hab ich mich jetzt also 2 Wochen schon mit IPTABLES rumgeärgert (obwohl ich bald wichige Prüfungen hab und sagen wir mal ned der Beste bin

) und es funzt auch alles soweit bis auf die DNS-Auflösung. Wenn ich die DNS-Server-IPs (217.237.149.225) direkt in die /etc/resolv.conf der LAN-Clients schreibe geht alles ohne Probs aber dafür hab ich ja auf dem Router extra dnsmasq drauf gemacht. Es soll also mit dem lokalen dnsmasq vom Router gehen.

Ich komme da jetzt echt ned mehr weiter ich glaube irgendwie hab ich da en Denkfehler, vielleicht weis jemand von euch wo es klemmen könnte.

Als Grundlage für mein Skript habe ich das BSP aus dem Buch "Das Firewallbuch" von Robert Ziegler:

Quellcode

#!/bin/tcsh
# Firewall-Skript fuer Router



# ============================================================================================================================
# PART I: Variablen
# ============================================================================================================================

set IPTABLES = /sbin/iptables

# ----------------------------------------------------------------------------------------------------------------------------
# special ports

set p_high = 1024:65535		# unprivileged ports
set p_ssh = 500:		# common ssh source ports

# ----------------------------------------------------------------------------------------------------------------------------
# interfaces

set EXT 	= ppp0
set INT 	= eth1

set IF 	= ( $EXT $INT )
# ggf. all verwenden
# set IF 	= ( all )

# ----------------------------------------------------------------------------------------------------------------------------
# ip hosts

set NS		= ( 217.237.149.225 194.25.2.129 )

set mail 	= 192.76.144.56 	# uumail.de.uu.net
# set loghost	= 192.168.0.9		# syslog purposes

set INTERN	= 192.168.0.0/255.255.255.0	# internes Netzwerk
# set FRIENDs	= 192.0.84.0/255.255.255.0	# befreundetes externes Netzwerk



# ============================================================================================================================
# PART II: Grundkonfiguration: absichern 
# ============================================================================================================================
# dynamische Kernelparameter setzen

echo "0" > /proc/sys/net/ipv4/ip_forward 	# erstmal abschalten
#echo "1" > /proc/sys/net/ipv4/tcp_syncookies
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
echo "100" > /proc/sys/net/ipv4/icmp_ratelimit 	# default
echo "6169" > /proc/sys/net/ipv4/icmp_ratemask 	# def + echo reply


foreach if ( $IF )
	echo "1" > /proc/sys/net/ipv4/conf/$if/rp_filter
	echo "0" > /proc/sys/net/ipv4/conf/$if/accept_redirects
	echo "0" > /proc/sys/net/ipv4/conf/$if/accept_source_route
	echo "0" > /proc/sys/net/ipv4/conf/$if/bootp_relay
	echo "1" > /proc/sys/net/ipv4/conf/$if/log_martians
end

# ----------------------------------------------------------------------------------------------------------------------------
# Default Policy und flush

$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT DROP

$IPTABLES -F		# flush aller chains (Tabelle filter)
$IPTABLES -t nat -F	# flush aller chains (Tabelle nat)
$IPTABLES -X		# delete all userdefined chains (Tabelle filter)

# ----------------------------------------------------------------------------------------------------------------------------
# lokale Prozesse

$IPTABLES -A OUTPUT -o lo -j ACCEPT
$IPTABLES -A INPUT -i lo -j ACCEPT

# ----------------------------------------------------------------------------------------------------------------------------
# ssh fuer Fernwartung

$IPTABLES -A INPUT -i $INT -s $INTERN -p TCP --sport $p_ssh --dport ssh -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -o $INT -d $INTERN -p TCP --dport $p_ssh --sport ssh -m state --state ESTABLISHED,RELATED -j ACCEPT

# ============================================================================================================================
# Userdefinierte Kettenregeln
# ============================================================================================================================

# ----------------------------------------------------------------------------------------------------------------------------
# DROP & LOG chain

$IPTABLES -N my_drop
$IPTABLES -A my_drop -p ICMP -j LOG --log-prefix "DROP-ICMP "
$IPTABLES -A my_drop -p UDP -j LOG --log-prefix "DROP-UDP "
$IPTABLES -A my_drop -p TCP -j LOG --log-prefix "DROP-TCP "
$IPTABLES -A my_drop -j DROP

# ============================================================================================================================
# PART IV: Masquerading, generell bestehende Verbindungen
# ============================================================================================================================

# ----------------------------------------------------------------------------------------------------------------------------
# MASQUERADING

$IPTABLES -t nat -A POSTROUTING -o $EXT -j MASQUERADE

echo "1" > /proc/sys/net/ipv4/ip_forward 	# wieder einschalten
echo "1" > /proc/sys/net/ipv4/ip_dynaddr

# ----------------------------------------------------------------------------------------------------------------------------
# ausgehende Pakete bei bereits aufgebauter Verbindung

$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# ----------------------------------------------------------------------------------------------------------------------------
# ident: reject

$IPTABLES -A FORWARD -i $EXT -p TCP --dport auth --syn -j REJECT

# ============================================================================================================================
# PART V: Filterregeln fuer lokale Dienste
# ============================================================================================================================

# ----------------------------------------------------------------------------------------------------------------------------
# DNS

$IPTABLES -A OUTPUT -o $EXT -p TCP --sport $p_high --dport 53 -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -o $EXT -p UDP --sport $p_high --dport 53 -m state --state NEW -j ACCEPT

# ----------------------------------------------------------------------------------------------------------------------------
# DHCP

$IPTABLES -A INPUT -i $INT -p UDP --dport 67:68 --sport 67:68 -j ACCEPT

# ----------------------------------------------------------------------------------------------------------------------------
# ICMP

$IPTABLES -A OUTPUT -p ICMP --icmp-type echo-request -j ACCEPT


# ----------------------------------------------------------------------------------------------------------------------------
# HTTP

$IPTABLES -A OUTPUT -o $EXT -m state --state NEW -p TCP --sport $p_high --dport http -j ACCEPT

# ----------------------------------------------------------------------------------------------------------------------------
# mldonkey

$IPTABLES -A OUTPUT -o $EXT -m state --state NEW -p TCP --sport $p_high --dport 4662 -j ACCEPT #mldonkey-core(@router) -> inet
#$IPTABLES -A INPUT -i $INT -m state --state NEW -p TCP -j ACCEPT #mldonkeyGUI-Client(@LAN) -> mldonkey-core(@router)
$IPTABLES -A INPUT -i $INT -m state --state NEW -p TCP --sport $p_high --dport 4001 -j ACCEPT

# ----------------------------------------------------------------------------------------------------------------------------
# SYSLOG zum Loghost

#$IPTABLES -A OUTPUT -o $INT -m state --state NEW -p UDP --sport syslog -d $loghost --dport syslog -j ACCEPT

# ============================================================================================================================
# PART VI: Filterregeln fuer Forwarding
# ============================================================================================================================


# ----------------------------------------------------------------------------------------------------------------------------
# ICMP

$IPTABLES -A FORWARD -o $EXT -p ICMP --icmp-type echo-request -j ACCEPT


# ----------------------------------------------------------------------------------------------------------------------------
# DNS

#Orginal aus dem Firewallskript:
foreach ns ( $NS )
	$IPTABLES -A FORWARD -o $EXT -m state --state NEW -p UDP --sport $p_high -d $ns --dport domain -j ACCEPT
	$IPTABLES -A FORWARD -o $EXT -m state --state NEW -p TCP --sport $p_high -d $ns --dport domain -j ACCEPT
end 


#VERSUCH2:
#$IPTABLES -A FORWARD -p TCP --sport $p_high --dport 53 -m state --state NEW -j ACCEPT
#$IPTABLES -A FORWARD -p UDP --sport $p_high --dport 53 -m state --state NEW -j ACCEPT


# ----------------------------------------------------------------------------------------------------------------------------
# SMTP, POP3

$IPTABLES -A FORWARD -o $EXT -m state --state NEW -p TCP --sport $p_high -d $mail --dport smtp -j ACCEPT
$IPTABLES -A FORWARD -o $EXT -m state --state NEW -p TCP --sport $p_high -d $mail --dport pop3 -j ACCEPT


# ----------------------------------------------------------------------------------------------------------------------------
# HTTP

$IPTABLES -A FORWARD -o $EXT -m state --state NEW -p TCP --sport $p_high --dport http -j ACCEPT


# ----------------------------------------------------------------------------------------------------------------------------
# HTTP via SSL

$IPTABLES -A FORWARD -o $EXT -m state --state NEW -p TCP --sport $p_high --dport https -j ACCEPT


# ----------------------------------------------------------------------------------------------------------------------------
# ftp, out, control connection

$IPTABLES -A FORWARD -o $EXT -m state --state NEW -p TCP --sport $p_high --dport ftp -j ACCEPT


# ----------------------------------------------------------------------------------------------------------------------------
# SSH fuer befreundetes externes Netzwerk

#$IPTABLES -A FORWARD -o $EXT -m state --state NEW -p TCP --sport $p_high --dport ssh -d $FRIENDs -j ACCEPT  

# ----------------------------------------------------------------------------------------------------------------------------
# Ausputzer: Rest sperren, loggen

$IPTABLES -A INPUT -j my_drop
$IPTABLES -A FORWARD -j my_drop
$IPTABLES -A OUTPUT -j my_drop

Währe echt super wenn mir jemand weiterhelen kann.

mfg, marcel

NEE, ich bin nich die Signatur, ich putze hier nur!!

Zum Seitenanfang

Wuid

Anfänger

Beiträge: 43

2

18.12.2005, 18:29

Hi EvilPete

bin auch Besitzer eines Gentoo Home Routers. Bin dafür auch dem Howto gefolgt, jedoch bin ich dann bei iptables gescheitert, hab mir dazu diese http://www.gentooforum.de/attachment.php?attachmentid=314 Skript editiert und hab mir so die Iptables eingestellt.

DNS-Auflösung hatte ich selbst zum Glück keine Probleme, ich kann mich nur daran erinnern, dass es von adsl-setup eine Einstellung gab, um automatisch die Server in die Datei /etc/resolf.conf eintragen zu lassen. So, dass dnsmasq mit der Datei /etc/resolf.conf arbeitet.

MfG Wuid

--> Linux is free, cool and rules!! <--

Zum Seitenanfang

EvilPete

Anfänger

Beiträge: 16

3

24.12.2005, 13:25

Danke erstmal für deine Hilfe. Also ich glaube mein Skript funktioniert ja soweit, es lassen sich ja DNS-Anfragen aus dem LAN durchrouten, aber ich wollte halt nicht immer auf jedem Client die Telekom-DNS-Server per Hand eintragen. Ich meine was nützt einem der Komfort von DHCP wenn man dann die DNS trotzdem von Hand eintragen muss?

Meine Frage ist nun wie schaffe ich das die DNS-Anfragen aus dem LAN nicht an den externen DNS-Server gerautet werden sondern vom DNSmasq, also dem DNS-Server im Router bearbeitet werden?

@Wuid
Dein Skript sieht ja hoch interessant aus, aber ich kapiere den DNS-Abschnitt ned so recht

Quellcode

# Nun öffnen wir die Kommunikation zur Namensauflösung "(DNS: port 53)". Zuerst die ANfrage an einen DNS. Dieses läuft
# erst über UDP, wenns nicht klappt über TCP. Die Antwort ist schwieriger, da die Antwort über UDP läuft und die
# firewall somit nicht erkennen kann, ob es eine bestehende oder neue Verbindung sein soll. Daher geben wir explizit
# den DNS-Server an.
iptables -A OUTPUT -p udp --sport 1024: --dport 53 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024: --dport 53 -j ACCEPT
for DNS in $(cut -d ' ' -f 2 /etc/resolv.conf)
do
	iptables -A INPUT -p udp -s $DNS --sport 53 -j ACCEPT
	iptables -A INPUT -p tcp -s $DNS --sport 53 -j ACCEPT
	echo "DNS $DNS opened."
done

Für mich sieht das so aus als ob du an deinen LAN-CLients die DNS-Ip deines Routers eingibst und der Router die Packete einfach an die externen DNS-Server die in /etc/resolv.conf gespeichert sind weiterleitet. Oder sehe ich das falsch? Aber trotzdem interessantes Skript!

mfg, marcel

NEE, ich bin nich die Signatur, ich putze hier nur!!

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »EvilPete« (24.12.2005, 13:27)

Zum Seitenanfang

Wuid

Anfänger

Beiträge: 43

4

25.12.2005, 10:07

Hi

ja, ich hab bei meinen Clients den Gateway des Routers eingetragen. Funzt so auch einwandfrei. Du willst wahrscheinlich, dass er dies auch noch automatisch macht oder ? Müsste alles mit dhcp funktionieren. Hab bis jetzt nur noch keinen dhcpd server auf meinem Router.

MfG Wuid

--> Linux is free, cool and rules!! <--

Zum Seitenanfang

LiNuX-FReaK

Genosse len1n

Beiträge: 136

5

19.03.2006, 18:23

Zitat

Original von Wuid

bin auch Besitzer eines Gentoo Home Routers. Bin dafür auch dem Howto gefolgt, jedoch bin ich dann bei iptables gescheitert, hab mir dazu diese http://www.gentooforum.de/attachment.php?attachmentid=314 Skript editiert und hab mir so die Iptables eingestellt.

Also das Script habe ich mir mal gezogen und auf meine NICs eingstellt.... Jedoch komme ich nur über WLAN ath0 ins Netz.... Über eth2 geht's zum DSL-Router (Fritzbox) und an eth0 und eth1 sind noch 2 Rechner angeschlossen.... Die 2 Rechner haben aber weder Zugriff auf das WLAN, noch auf DSL oder gar den Gentoo-Rechner....

Habe für ath0, eth0 und eth1 als IÜ die 192.168.5.1 festgelegt... Kommt Linux damit nicht klar, wenn 3 NICs die selbe IP haben??? Denn er nimmt nur Pakete von ath0 an...... Brdiging hatte ich versucht.... Gibt aber immer ne Kernel Panic wenn ich WLAN aktiviere....

$lifetime = $runtime;