[Eisfair] VPN und neuer Eiskernel: 2.10.0 (3.2.67-eisfair-1-SMP) - keine Verbindung
Frank Großmann
fgrossmann at grossmann-computer.de
Di Jun 30 09:44:35 CEST 2015
Am 30.06.2015 um 09:09 schrieb Marcus Roeckrath:
> Hallo Thomas, hallo Frank,
>
> Thomas Bork wrote:
>
>> Möglich ist auch:
>>
> http://git.kernel.org/cgit/linux/kernel/git/stable/linux-stable.git/commit/?id=d7cde286daad20dd171247ea47fc5ff4868591f0
>
> Wenn ich das richtig verstehe, wurde ein fälschlicherweise offenes "Loch" in
> der Firewall gestopft. Würde IMHO hier nur dann zuschlagen können, wenn
> Frank die Firewall falsch konfiguriert, aber wegen des "Lochs" der Verkehr
> dennoch durchgelassen wurde.
>
> @Frank: Wie sehen Deine Firewallregeln für vpn aus?
>
Hallo
Ich ändere/move den Eintrag in der lilo.conf mit mc auf den gewünschten
Kernel und führe lilo aus.
Alter Kernel wurde nach Update auf neuen Kernel als kernel-3.2.54-SMP
abgelegt.
image = /boot/kernel-3.2.54-SMP
root = /dev/sda3
label = 3.2.54-SMP
initrd = /boot/initrd-3.2.54-SMP.gz
append = "raid=noautodetect"
image = /boot/kernel
root = /dev/sda3
label = eis
initrd = /boot/initrd.gz
append = "raid=noautodetect"
image = /boot/old-kernel
root = /dev/sda3
label = oldeis
initrd = /boot/old-initrd.gz
append = "raid=noautodetect"
Die Eisfair sind als Router für das entsprechende Netz eingesetzt.
Regeln für Firewall werden im vpnd doch nicht gesetz, nur über das
Routing-Modul werden INPUT_ACCEPT_PORT's gesetzt.
# Packet filter: ports to accept from outside
#------------------------------------------------------------------------------
INPUT_ACCEPT_PORT_N='6'
INPUT_ACCEPT_PORT_1='22'
INPUT_ACCEPT_PORT_2='80'
INPUT_ACCEPT_PORT_3='443'
INPUT_ACCEPT_PORT_4='1194'
INPUT_ACCEPT_PORT_5='1723'
INPUT_ACCEPT_PORT_6='5020'
#------------------------------------------------------------------------------
# Portforwarding
#------------------------------------------------------------------------------
PORTFW_N='0' # how many portforwardings
Zusätzlich habe ich noch FORWARD_TRUSTED_NETS für eine
openvpn-Netzverbindung zwischen den Netzen 10.0.10.x und 10.0.11.x
eingestellt.
gateway # iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
BOTBLOCK all -- anywhere anywhere
BFBSCAN tcp -- anywhere anywhere tcp
flags:FIN,SYN/FIN,SYN
BFBSCAN tcp -- anywhere anywhere tcp
flags:SYN,RST/SYN,RST
BFBSCAN tcp -- anywhere anywhere tcp
flags:FIN,SYN,RST,PSH,ACK,URG/FIN
BFBSCAN tcp -- anywhere anywhere tcp
flags:FIN,SYN,RST,PSH,ACK,URG/NONE
BFBSCAN tcp -- anywhere anywhere tcp
flags:FIN,SYN,RST,ACK/SYN
BFBSCAN tcp -- anywhere anywhere tcp
flags:FIN,SYN,RST,PSH,ACK,URG/FIN,PSH,URG
BFBSCAN tcp -- anywhere anywhere tcp
flags:!FIN,SYN,RST,ACK/SYN state NEW
BFBBLOCK all -- anywhere anywhere
ACCEPT all -- 10.0.11.0/24 anywhere
ACCEPT all -- 10.0.11.0/24 anywhere
ACCEPT all -- 10.0.10.0/24 anywhere
ACCEPT all -- 10.10.10.0/24 anywhere
ACCEPT all -- anywhere anywhere state
RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT udp -- anywhere anywhere udp dpt:ssh
ACCEPT tcp -- anywhere anywhere tcp dpt:www
ACCEPT udp -- anywhere anywhere udp dpt:www
ACCEPT tcp -- anywhere anywhere tcp dpt:443
ACCEPT udp -- anywhere anywhere udp dpt:443
ACCEPT tcp -- anywhere anywhere tcp dpt:1194
ACCEPT udp -- anywhere anywhere udp dpt:1194
ACCEPT tcp -- anywhere anywhere tcp dpt:1723
ACCEPT udp -- anywhere anywhere udp dpt:1723
ACCEPT tcp -- anywhere anywhere tcp dpt:5020
ACCEPT udp -- anywhere anywhere udp dpt:5020
ACCEPT icmp -- anywhere anywhere
REJECT all -- anywhere anywhere
reject-with icmp-port-unreachable
Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT all -- 10.0.11.0/24 10.0.10.0/24
ACCEPT all -- 10.0.11.0/24 10.10.10.0/24
ACCEPT all -- 10.0.10.0/24 10.0.11.0/24
ACCEPT all -- 10.0.10.0/24 10.10.10.0/24
ACCEPT all -- 10.10.10.0/24 10.0.11.0/24
ACCEPT all -- 10.10.10.0/24 10.0.10.0/24
fdrop tcp -- anywhere anywhere tcp
dpts:netbios-ns:netbios-ssn
fdrop udp -- anywhere anywhere udp
dpts:netbios-ns:netbios-ssn
fdrop tcp -- anywhere anywhere tcp dpt:5000
fdrop udp -- anywhere anywhere udp dpt:5000
ACCEPT all -- 10.0.11.0/24 anywhere
ACCEPT all -- anywhere anywhere state
RELATED,ESTABLISHED
fdrop all -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain BFBBLOCK (1 references)
target prot opt source destination
Chain BFBSCAN (7 references)
target prot opt source destination
LOG tcp -- anywhere anywhere tcp
dpts:0:chargen limit: avg 20/min burst 20 LOG level debug prefix "PSCAN "
LOG tcp -- anywhere anywhere tcp
dpts:38:52 limit: avg 20/min burst 20 LOG level debug prefix "PSCAN "
LOG tcp -- anywhere anywhere tcp
dpts:54:78 limit: avg 20/min burst 20 LOG level debug prefix "PSCAN "
LOG tcp -- anywhere anywhere tcp
dpts:82:link limit: avg 20/min burst 20 LOG level debug prefix "PSCAN "
LOG tcp -- anywhere anywhere tcp
dpts:89:100 limit: avg 20/min burst 20 LOG level debug prefix "PSCAN "
LOG udp -- anywhere anywhere limit: avg
20/min burst 5 LOG level warning prefix "PSCAN "
Chain BOTBLOCK (1 references)
target prot opt source destination
Chain fdrop (5 references)
target prot opt source destination
DROP all -- anywhere anywhere
gateway #
Mfg
Frank
Mehr Informationen über die Mailingliste Eisfair