frage zu iptables..

Re(4): frage zu iptables..

*patrick star* — Wed, 25 Dec 2013 11:46:42 GMT

ok, ist mir schon klar wie das funkt. network-manager startet einen openvpn prozess und kommuniziert ueber einen highport über das locale interface. laesst man den traffic nicht zu, kann der network-manager den openvpn prozess nicht anquatschen.

Re(3): frage zu iptables..

A national Acrobat — Wed, 25 Dec 2013 11:34:57 GMT

Mhh..würd mich auch interessieren warum das so ist - nutze auch vpnc.

Vielleicht hat das was damit zu tun das vpnc die lokalen Verbindungen abdreht und die lo zur Kommunikation mit dem tunnel bzw. physischen Device nutzt ?

Kann aber auch totaler Kokolores sein die Vermutung..

Re(2): frage zu iptables..

*patrick star* — Wed, 25 Dec 2013 11:30:59 GMT

nix, ich wuerds nur gerne verstehen weil mich das einige zeit gekostet hat. da der zugriff auf lo stattfindet hab ich ihn auch nicht im tcpdump gesehen.

Re: frage zu iptables..

A national Acrobat — Wed, 25 Dec 2013 11:18:13 GMT

Ich kann Dir da auch nicht wirklich helfen leider, ich hab mir mal die Manpages durchgelesen und da drin eine Config-Variable für LocalAddr gefunden, vielleicht kannst ja da ein Interface/Adresse statisch binden ?

Was spricht dagegen dem vpnc (?) den Zugriff auf die lo zu erlauben ?

lg.

frage zu iptables..

*patrick star* — Wed, 25 Dec 2013 10:03:18 GMT

ich bin ja eher der netzwerk n00b und eventuell koennte mir ja jemand weiterhelfen...

ich möchte in einem vbox guest ubuntu die OUTPUT iptable so konfigurieren, das nur der zugriff auf einen VPN provider zulässig ist bzw. auf dem VPN interface tap0 alles zulässig ist.

dadurch soll der komplete outgoing traffic geblockt werden, wenn die VPN verbindung abbricht.

imo sollten folgendes iptable rules reichen:

iptables -A OUTPUT -o tap0 -j ACCEPT
iptables -A OUTPUT -d vpn-ip -j ACCEPT
iptables -A OUTPUT -j DROP

jedoch funktioniert damit der aufbau des VPN nicht. durch einen LOG eintrag auf der OUTPUT IP table sehe ich im syslog, das beim aufbau des VPN zuerst ein zugriff auf das lo interface auf 127.0.0.1 stattfindet.

log eintrag:

kernel: [ 2673.401238] OUTPUT lo allowed IN= OUT=lo SRC=127.0.0.1 DST=127.0.0.1 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=13982 DF PROTO=TCP SPT=46337 DPT=1194 WINDOW=32792 RES=0x00 SYN URGP=0

wenn ich also zu den oben genannten regeln noch

iptables -A OUTPUT -d 127.0.0.1 -j ACCEPT

aufnehme, funkt der VPN aufbau.

hat jemand eine ahnung warum dieser zugriff auf das lo interface stattfindet. oder verstehe ich da grunsätzlich etwas nicht?

danke!

frage zu iptables..

*patrick star* — Wed, 25 Dec 2013 10:03:18 GMT

edit: schon erledigt

ich bin ja eher der netzwerk n00b und eventuell koennte mir ja jemand weiterhelfen...

ich möchte in einem vbox guest ubuntu die OUTPUT iptable so konfigurieren, das nur der zugriff auf einen VPN provider zulässig ist bzw. auf dem VPN interface tap0 alles zulässig ist.

dadurch soll der komplete outgoing traffic geblockt werden, wenn die VPN verbindung abbricht.

imo sollten folgendes iptable rules reichen:

iptables -A OUTPUT -o tap0 -j ACCEPT
iptables -A OUTPUT -d vpn-ip -j ACCEPT
iptables -A OUTPUT -j DROP

iptables -A OUTPUT -d 127.0.0.1 -j ACCEPT

aufnehme, funkt der VPN aufbau.

hat jemand eine ahnung warum dieser zugriff auf das lo interface stattfindet. oder verstehe ich da grunsätzlich etwas nicht?

danke!