ubuntuusers.de

schindi77 schrieb:

Wieder keine Hilfe, sorry.

Beantworte bitte meine Fragen oder halt dich raus, sorry.

Poste mal die Ausgabe von:

sudo iptables -L -n -v

iptables -L -n -v

Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    4   200 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  ppp0   *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy DROP 16 packets, 960 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    4   200 ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     tcp  --  *      ppp0    0.0.0.0/0            0.0.0.0/0           tcp spts:80:65535 dpt:80 
    0     0 ACCEPT     tcp  --  *      ppp0    0.0.0.0/0            0.0.0.0/0           tcp spts:80:65535 dpt:443 
    0     0 ACCEPT     all  --  *      ppp0    0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 

zusätzlich noch die Ausgabe von ifconfig, damit du siehst, daß ich tatsächlich eingewählt bin.

lo        Link encap:Lokale Schleife  
          inet Adresse:127.0.0.1  Maske:255.0.0.0
          inet6-Adresse: ::1/128 Gültigkeitsbereich:Maschine
          UP LOOPBACK RUNNING  MTU:16436  Metrik:1
          RX packets:8 errors:0 dropped:0 overruns:0 frame:0
          TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:0 
          RX bytes:480 (480.0 B)  TX bytes:480 (480.0 B)

mon.wlan0 Link encap:UNSPEC  Hardware Adresse 00-16-44-8C-10-35-30-30-00-00-00-00-00-00-00-00  
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metrik:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:1000 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

ppp0      Link encap:Punkt-zu-Punkt-Verbindung  
          inet Adresse:94.245.xxx.xxx  P-z-P:10.64.64.64  Maske:255.255.255.255
          UP PUNKTZUPUNKT RUNNING NOARP MULTICAST  MTU:1440  Metrik:1
          RX packets:9 errors:0 dropped:0 overruns:0 frame:0
          TX packets:9 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:3 
          RX bytes:198 (198.0 B)  TX bytes:185 (185.0 B)

wlan0     Link encap:Ethernet  Hardware Adresse 00:16:44:8c:10:35  
          inet6-Adresse: fe80::216:44ff:fe8c:1035/64 Gültigkeitsbereich:Verbindung
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metrik:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:6 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:1000 
          RX bytes:0 (0.0 B)  TX bytes:576 (576.0 B)

Die letzten 6 Stellen meiner IP-Adresse bei ppp0 habe ich ausgei-x-t.

schindi77 schrieb:

Die letzten 6 Stellen meiner IP-Adresse bei ppp0 habe ich ausgei-x-t.

Versuch jetzt mal die iptables-Regeln in der OUTPUT-chain, ohne "-p tcp" bzw. ohne source-ports und dann ein "ping -c 4 heise.de" machen. Zum pingen wird icmp als Protokoll benötigt, deshalb ohne "-p ...". Für die DNS-Auflösung wird ausgehender Zugang zum Port 53-UDP des DNS-Servers benötigt. Poste auch die Ausgabe von:

sudo nmap -sS heise.de -p80

EDIT:

Versuch mal dieses iptables-Script:

#!/bin/sh
iptables -F
iptables -X
#
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
#
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT 
iptables -A OUTPUT -p icmp -j ACCEPT
iptables -A OUTPUT -p tcp -m multiport --dports 53,123,80,443 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT

mit

sudo chmod 700 <pfad/scriptname>

sudo sh -x <pfad/scriptname>

und dann:

ping -c 4 heise.de

hehehe! Ich danke dir!

Das: mickydoutza schrieb:

>Für die DNS-Auflösung wird ausgehender Zugang zum Port 53-UDP

und das: mickydoutza schrieb:

Zum pingen wird icmp als Protokoll benötigt

waren die entscheidenden Hinweise! (Vielleicht sollte das ins WIKI übernommen werden).

Ohne "-p tcp" kann ich --dports nicht angeben, funktionierte also nicht.

AAABER wie gesagt: Port 53 und -p icmp waren die Punkte die notwendig sind, um zumindest mal lokal ins Internet zu kommen. Herzlichen Dank dafür!

Jetzt muß ich noch schauen, ob ich auch mit den Rechnern hinter dem Router online gehen kann, sprich die Weiterleitung hinbekomme.

Aber das müßte dann ja eigentlich genauso funktionieren, wie es im wiki unter "Router" beschrieben ist oder?

ok, einfach so wie im wiki beschrieben funktionierts nicht.....

Nun ist zwar der Router im Internet, aber die Weiterleitung krieg ich nicht hin.

Was ich versucht habe ist

iptables -A FORWARD -p tcp -m multiports --dports 53,80,123,443 -j ACCEPT

was aber genau gar nichts bewirkt.

Wie falsch denke ich hier?

schindi77 schrieb:

Was ich versucht habe ist

iptables -A FORWARD -p tcp -m multiports --dports 53,80,123,443 -j ACCEPT

Versuch mal mit "-m multiport". Evtl. benötigst Du auch in der FORWARD chain Regeln für das udp-Protokoll/udp-Ports und evtl. auch für das icmp-Protokoll. Je nach dem welche Dienste im Internet von den Clients am Router erreicht werden sollen.

EDIT:

Evtl. müssen die Clients am Router, Zugang zu Diensten auf dem Router haben. Siehe dafür evtl. erforderliche Regeln in der INPUT-chain.

ist der Kernel konfiguriert, für Pakete weiterzuleiten:

http://forum.ubuntuusers.de/topic/kernel-faehigkeit-zur-ip-weiterleitung/

EDIT:

Da du am Anfang von dem Router gesprochen hast, denk ich mal das ist aktiviert, aber schau trotzdem mal nach

Braindead schrieb:

ist der Kernel konfiguriert, für Pakete weiterzuleiten:

In seinem Script aus seinem 1. Beitrag ist u. a. Folgendes eingetragen:

/sbin/sysctl -w net.ipv4.ip_forward=1

ach ok, übersehen