# Ghostwall?



## RedWing (16. November 2003)

Hi,
ich habe seit nun minder 3 Tagen es geschafft meinen Server
auf Linux aufzusetzen und diesen als Router fungieren zu lassen.
Mein Problem ist jetzt das sämtliche Services die aus dem Netz zum Router kommen,
wie z.B ssh oder http vom Rechner nicht angenommen werden, 
dieses Phänomän tritt auch auf wenn die Firewall ausgeschaltet ist.
ERROR: Connection refused on port 22.
Der Zugriff erfolgt aus dem eigenen Netwerk über eine DYNDNS ,die auf
den Router pointet. (IP der DYNDNS und i-netaddr von ppp0 stimmen überein)
Weiss jemand Rat?

Distribution SuSE8.2
T-DSL Verbindung über ppp0
Interne Netzkarte(eth0): 192.168.0.1
Externe Netzkarte(eth1): 192.168.2.22


----------



## RedWing (16. November 2003)

Argh entweder ich bin total verrückt oder mein Router treibt seinen Scharlatan mit
mir. 
Ich kann bestimmte Domains nicht erreichen.
http://www.ebay.de, http://www.gmx.de und http://www.hotmail.com sind ein paar der 
Kandidaten.
Hat denn niemand eine Lösung ich verzweifle noch.

Gruß
RedWing


----------



## Christian Fein (17. November 2003)

Ich würde sagen du hast ein paar Packetfilter gesetzt. Zu deutsch Firewall. Solltes über yast (k.a. ob das bei SuSE auch über yast geht) konfigurieren

Ansonsten: Howto-IPTables


----------



## Tim C. (17. November 2003)

> Der Zugriff erfolgt aus dem eigenen Netwerk über eine DynDNS ,die auf
> den Router pointet.


Wenn ich das richtig verstehe, bzw. es so gemeint ist, wie es da steht kann es schonmal häufiger zu Problemen kommen, wenn du aus dem internen Netz über deinen DynDNS Host "von drinnen nach draußen nach drinnen" auf dich selbst zugreifen willst.
Da geht bei mir (unahängig von Linux und Firewall) auch nicht.


----------



## Arne Buchwald (17. November 2003)

> _Original geschrieben von RedWing _
> *Argh entweder ich bin total verrückt oder mein Router treibt seinen Scharlatan mit
> mir.
> Ich kann bestimmte Domains nicht erreichen.
> ...


Das liegt soweit ich weiß an falschen Paketgrößen (MTU-Größen). Such' mal ein bisschen im Netz, dann solltest du dazu auch was finden.


----------



## RedWing (17. November 2003)

Danke erstnal für die Zahlreichen Antworten.
Also folgendes wie schon gesagt eine Firewall ist nicht aktiv und ich hab es
auch schon von direkt aussen versucht. Geht trotzdem nich.
Meine MTU hab ich nun auf 1492 und bekomm beim anpingen folgenden Feghler:
...icmp_seq=20 Packet filtered.
Vielleicht hat noch irgend jemand eine Idee wäre euch dankbar.
Meine Networkconfig is folgende:
eth0     
 Link encap:Ethernet  HWaddr 00:10:4B:B1:FF:96
          inet addr:192.168.0.1  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::210:4bff:feb1:ff96/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1456 errors:0 dropped:0 overruns:0 frame:0
          TX packets:828 errors:0 dropped:0 overruns:0 carrier:0
          collisions:1 txqueuelen:100
          RX bytes:182379 (178.1 Kb)  TX bytes:152336 (148.7 Kb)
          Interrupt:11 Base address:0xe000

eth1 
     Link encap:Ethernet  HWaddr 00:30:AB:01:71:2B
          inet addr:192.168.2.22  Bcast:192.168.2.255  Mask:255.255.255.0
          inet6 addr: fe80::230:abff:fe01:712b/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:631 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1178 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:133482 (130.3 Kb)  TX bytes:160202 (156.4 Kb)
          Interrupt:10 Base address:0xe400

lo
        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:2 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:100 (100.0 b)  TX bytes:100 (100.0 b)

ppp0
      Link encapoint-to-Point Protocol
          inet addr:217.233.107.115  P-t-P:217.5.98.170  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:556 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1080 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:116738 (114.0 Kb)  TX bytes:132959 (129.8 Kb)

Vielleicht könnt ihr damit ja was anfangen....
Viele Grüsse

RedWing


----------



## Christian Fein (17. November 2003)

Starting nmap 3.48 ( http://www.insecure.org/nmap/ ) at 2003-11-17 18:12 CET
Interesting ports on pD9E96B73.dip.t-dialin.net (217.233.107.115):
(The 1655 ports scanned but not shown below are in state: closed)
PORT    STATE SERVICE
53/tcp  open  domain
111/tcp open  rpcbind


Das sind deine nach aussen offenen Ports. Da steckt eine Firewall davor, kannst mir erzaehlen was du willst.
Aber kein Linux - Standardinstallation hat sowenige offene Ports


----------



## RedWing (17. November 2003)

Kann mir dann mal jemand bitte veraten wie ich diese blöde Firewall ausschalten
kann, oder wo man nachschauen kann ob und wo eine Firewall aktiv ist.
Achso und das mit dem mtu hab ich nun mittlerweile in 10er Schritten sämtliche
Konfigurationen an ppp0 durchgeführt gmx und ebay bleiben trotzdem unerreichbar.
Gruß 
RedWing


----------



## Christian Fein (18. November 2003)

Auschalten währe genau falsch. Allerhoechstens Regeln anpassen damit du deine Dienste nutzen kannst.

Regeln auflisten

```
$ su
[passwort]
$ iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       icmp --  localhost            anywhere

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
```

Regeln löschen
hier die eine aufgelistete


```
$ iptables -D INPUT 1
```
löscht die 1. INPUT Regel.

Bitte nochmal genau im HOWTO nachlesen:
http://www.netfilter.org/documentation/HOWTO/de/packet-filtering-HOWTO-7.html


----------



## RedWing (18. November 2003)

Danke für deine Hilfe Christian,
ich hab mich mal an deinen Rat gehalten und hab mir mal meine
definierten chains angeguckt, welche so ausschauen:

schorsch:~ # iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

wenn ich nun alles richtig verstanden hab sollten die Regeln alle leer sein 
und damit alle Services uneingeschränkten Zugriff von aussen, wie von innen
haben. Für das interne Netzwerk mag das auch zutreffen aber für aussen halt nicht, wo ich wieder bei meinem alten Problem wäre. Auch haben vorgefertigte 
Shell Skripte Ihr gewünschtes Ziel nicht erreicht...
Es ist zum Mäuse melken.
Aber trotzdem Danke für eure Geduld.

Gruß
RedWing


----------

