tap0 iptables wird blockiert

[Revolution]

Hallo zusammen,

Ich hab gerade wieder Spaß mit IPTables...

Hier mal meine Regeln

#!/bin/bash

# Alles Löschen

/sbin/iptables -F
/sbin/iptables -t nat -F
/sbin/iptables -t mangle -F
/sbin/iptables -X
/sbin/iptables -t nat -X
/sbin/iptables -t mangle -X
/sbin/iptables -Z
/sbin/iptables -t nat -Z
/sbin/iptables -t mangle -Z

# Allow lo

/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT

# Allow on eth0

#/sbin/iptables -A INPUT -i eth0 -p tcp --sport 22 --dport 22 -j ACCEPT
#/sbin/iptables -A OUTPUT -o eth0 -p tcp --sport 22 --dport 22 -j ACCEPT

/sbin/iptables -A INPUT -i eth0 -p tcp --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m conntrack --ctstate ESTABLISHED -j ACCEPT

# Allown on ppp0

/sbin/iptables -A INPUT -i ppp0 -p udp --sport 1199 --dport 1199 -j ACCEPT
/sbin/iptables -A OUTPUT -o ppp0 -p udp --sport 1199 --dport 1199 -j ACCEPT

# Allow TAP interface connections to OpenVPN server
#/sbin/iptables -A INPUT -i tap+ -j ACCEPT

# Allow TAP interface connections to be forwarded through other interfaces
#/sbin/iptables -A FORWARD -i tap+ -j ACCEPT

# Drop everthing on eth0

/sbin/iptables -A OUTPUT -o eth0 -j DROP
/sbin/iptables -A INPUT -i eth0 -j DROP
/sbin/iptables -A FORWARD -i eth0 -j DROP

# Drop everthing on ppp0

/sbin/iptables -A OUTPUT -o ppp0 -j DROP
/sbin/iptables -A INPUT -i ppp0 -j DROP
/sbin/iptables -A FORWARD -i ppp0 -j DROP


#### Log Regeln

/sbin/iptables -N RULE_0                                                                                                                # Neue Chain erstellen
/sbin/iptables -A INPUT  -j RULE_0                                                                                                      # Input auf RULE_0
/sbin/iptables -A FORWARD  -j RULE_0                                                                                                    # Forward auf RULE_0
/sbin/iptables -A RULE_0  -j LOG  --log-level info --log-prefix "[IPTABLES - DENY] "                                                    # Alle Pakete Loggen
/sbin/iptables -A RULE_0  -j DROP                     

sleep 20
/sbin/reboot

Das bekomme ich im Log zu sehen...

[IPTABLES - DENY] IN=tap0 OUT= MAC=72:94:97:17:3a:20:76:f5:69:82:80:f1:08:00 SRC=192.168.178.100 DST=10.10.10.22 LEN=52 TOS=0x00 PREC=0x00 TTL=125 ID=51784 DF PROTO=TCP SPT=53113 DPT=22 WINDOW=64240 RES=0x00 SYN URGP=0

Ich verstehe nur ned so recht welche regel tap0 betrifft, das Interface müsste doch komplett frei sein...

 

[Gamienator]

Also ich sehe keinerlei Regel die tap0 erlaubt.

Schonmal

/sbin/iptables -A INPUT -i tap0 -j ACCEPT

probiert?

 

[Revolution]

Schon richtig aber wenn ich nichts angebe müsst das Interface doch offen sein? Wenn keine Regel da ist kann doch auch nix gefiltert werden. Mit dem tap0 -j ACCEPT geht es sicher macht es für mich aber nicht logischer.

 

[Raijin]

Wenn die default action der chain auf drop steht und das Paket keine accept-Regel matched, wird es evtl implizit gedroppt?