pings erlauben mit iptables?

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Benutzeravatar
jmar83
Beiträge: 143
Registriert: 20.06.2013 20:20:15

pings erlauben mit iptables?

Beitrag von jmar83 » 10.01.2019 14:28:02

das geht scheinbar nicht:

Code: Alles auswählen

iptables -A INPUT -p icmp --icmp-type 0 -m state --state ESTABLISHED,RELATED -j ACCEPT
"Zeitüberschreitung der Anforderung"

Habe irgendwo im Netz gelesen dies sei die Regel um pings zu erlauben, ist scheinbar aber nonsens...(?)
Freundliche Grüsse, Jan

Benutzeravatar
jmar83
Beiträge: 143
Registriert: 20.06.2013 20:20:15

Re: pings erlauben mit iptables?

Beitrag von jmar83 » 10.01.2019 14:29:14

Quelle: https://unix.stackexchange.com/question ... ock-others

Es geht um eingehende pings auf einem Server...
Freundliche Grüsse, Jan

Benutzeravatar
jmar83
Beiträge: 143
Registriert: 20.06.2013 20:20:15

Re: pings erlauben mit iptables?

Beitrag von jmar83 » 10.01.2019 14:30:08

Alle Befehle, welche ich ausgeführt habe:

Code: Alles auswählen

apt-get update
apt-get install iptables
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I INPUT -p tcp --dport 22 -j ACCEPT
iptables -I INPUT -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -j DROP
apt-get install iptables-persistent   # !!! Und beim Installationsvorgang die Fragen ob die aktuellen Regeln gespeichert werden sollen mit "Ja" beantworten !!!
init 6   # !!! Mit einem Reboot testen, ob die obere Instruktion geklappt hat !!!
Freundliche Grüsse, Jan

MSfree
Beiträge: 3971
Registriert: 25.09.2007 19:59:30

Re: pings erlauben mit iptables?

Beitrag von MSfree » 10.01.2019 14:35:36

jmar83 hat geschrieben: ↑ zum Beitrag ↑
10.01.2019 14:28:02
das geht scheinbar nicht:

Code: Alles auswählen

iptables -A INPUT -p icmp --icmp-type 0 -m state --state ESTABLISHED,RELATED -j ACCEPT
Nimm mal --icmp-type 8/0

mat6937
Beiträge: 1233
Registriert: 09.12.2014 10:44:00

Re: pings erlauben mit iptables?

Beitrag von mat6937 » 10.01.2019 14:35:49

jmar83 hat geschrieben: ↑ zum Beitrag ↑
10.01.2019 14:29:14
Es geht um eingehende pings auf einem Server...
Dann handelt es sich nicht um "ESTABLISHED,RELATED"-, sondern um "NEW"-Datenpakete? Siehe deine iptables-Regel.

mat6937
Beiträge: 1233
Registriert: 09.12.2014 10:44:00

Re: pings erlauben mit iptables?

Beitrag von mat6937 » 10.01.2019 14:40:50

mat6937 hat geschrieben: ↑ zum Beitrag ↑
10.01.2019 14:35:49
jmar83 hat geschrieben: ↑ zum Beitrag ↑
10.01.2019 14:29:14
Es geht um eingehende pings auf einem Server...
Dann handelt es sich nicht um "ESTABLISHED,RELATED"-, sondern um "NEW"-Datenpakete? Siehe deine iptables-Regel.
EDIT:

BTW: Mit dieser Regel:

Code: Alles auswählen

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
und richtigerweise an vorderster Stelle, hast Du doch auch schon die "ESTABLISHED,RELATED"-Datenpakete für das icmp-Protokoll, in der INPUT chain erlaubt.

Benutzeravatar
jmar83
Beiträge: 143
Registriert: 20.06.2013 20:20:15

Re: pings erlauben mit iptables?

Beitrag von jmar83 » 10.01.2019 14:42:17

Das zusätzlich bringt auch nix:

Code: Alles auswählen

iptables -A INPUT -p icmp --icmp-type 8 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
Freundliche Grüsse, Jan

MSfree
Beiträge: 3971
Registriert: 25.09.2007 19:59:30

Re: pings erlauben mit iptables?

Beitrag von MSfree » 10.01.2019 14:42:54

mat6937 hat geschrieben: ↑ zum Beitrag ↑
10.01.2019 14:35:49
Dann handelt es sich nicht um "ESTABLISHED,RELATED"-, sondern um "NEW"-Datenpakete? Siehe deine iptables-Regel.
Stimmt :facepalm:

Der icmp-type ist aber trotzdem falsch. Um auch das Ping-Echo zu erlauben braucht man noch die OUTPUT-Regel. Insgesamt sollte es also mit:

Code: Alles auswählen

iptables -A  INPUT -p icmp --icmp-type 8/0 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 8/0 -m state --state NEW -j ACCEPT
funktionieren.

Benutzeravatar
jmar83
Beiträge: 143
Registriert: 20.06.2013 20:20:15

Re: pings erlauben mit iptables?

Beitrag von jmar83 » 10.01.2019 14:44:34

Oh, habe meinen Beitrag verfasst während andere Beiträge geschrieben wurden - werde die Tipps versuchen. Vielen Dank.
Freundliche Grüsse, Jan

Benutzeravatar
jmar83
Beiträge: 143
Registriert: 20.06.2013 20:20:15

Re: pings erlauben mit iptables?

Beitrag von jmar83 » 10.01.2019 14:52:17

so, jetzt werde ich erstmal alle rules zurücksetzen mit den befehlen hier: https://ubuntuforums.org/showthread.php?t=1381516

(hoffe dass dort kein bla-bla steht wie im anderen link, wo ich die vermeintliche "allow icmp"-Regel her habe! ;-))
Freundliche Grüsse, Jan

mat6937
Beiträge: 1233
Registriert: 09.12.2014 10:44:00

Re: pings erlauben mit iptables?

Beitrag von mat6937 » 10.01.2019 14:52:39

MSfree hat geschrieben: ↑ zum Beitrag ↑
10.01.2019 14:42:54
Um auch das Ping-Echo zu erlauben braucht man noch die OUTPUT-Regel.
Das ist von der default policy der OUTPUT chain abhängig. Wenn diese auf ACCEPT ist, wir keine Regel benötigt.

Benutzeravatar
jmar83
Beiträge: 143
Registriert: 20.06.2013 20:20:15

Re: pings erlauben mit iptables?

Beitrag von jmar83 » 10.01.2019 14:55:18

Nach dem zurücksetzen habe ich folgende Befehle ausgeführt:

Code: Alles auswählen

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I INPUT -p tcp --dport 22 -j ACCEPT
iptables -I INPUT -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -p tcp --dport 443 -j ACCEPT
iptables -A  INPUT -p icmp --icmp-type 8/0 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 8/0 -m state --state NEW -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -j DROP
dpkg-reconfigure iptables-persistent
init 6
Resultat: Läuft

Vielen vielen Dank! :-)
Freundliche Grüsse, Jan

inne
Beiträge: 2204
Registriert: 25.06.2013 15:45:12
Lizenz eigener Beiträge: GNU General Public License
Kontaktdaten:

Re: pings erlauben mit iptables?

Beitrag von inne » 10.01.2019 14:59:55

Thema gelöst?

Was hat wohl länger bestand:
jmar83 hat geschrieben: ↑ zum Beitrag ↑
10.01.2019 14:55:18

Code: Alles auswählen

dpkg-reconfigure iptables-persistent
Oder:

Code: Alles auswählen

service netfilter-persistent save
:mrgreen:
(=_=)

Have mercy!

Benutzeravatar
jmar83
Beiträge: 143
Registriert: 20.06.2013 20:20:15

Re: pings erlauben mit iptables?

Beitrag von jmar83 » 10.01.2019 15:05:55

Keine Ahnung...

An Anfang bin ich 100% davon ausgegangen, dass die Rules eh persistent sind - komischerweise ist das nicht der Fall.

Was ist der Unterschied zwischen den Befehlen?
Freundliche Grüsse, Jan

mat6937
Beiträge: 1233
Registriert: 09.12.2014 10:44:00

Re: pings erlauben mit iptables?

Beitrag von mat6937 » 10.01.2019 15:14:30

jmar83 hat geschrieben: ↑ zum Beitrag ↑
10.01.2019 15:05:55
Keine Ahnung...
Wie sind z. Zt. die Ausgaben von:

Code: Alles auswählen

ls -la /etc/iptables/rules.v4
cat /etc/iptables/rules.v4
?

Antworten