IPTABLES ausgehender Traffic

  • Hallo,


    habe ein Problem, dass ich z.B. keine Mails verschicken kann oder Updates machen kann (seit ich die IPtables konfiguriert habe):

    Code
    Err http://security.debian.org/ wheezy/updates/main libgpgme11 amd64 1.2.0-1.4+deb7u1
      Cannot initiate the connection to security.debian.org:80 (2001:a78:5:0:216:35ff:fe7f:be4f). - connect (101: Network is unreachable) [IP: 2001:a78:5:0:216:35ff:fe7f:be4f 80]
    Failed to fetch http://security.debian.org/pool/updates/main/g/gpgme1.0/libgpgme11_1.2.0-1.4+deb7u1_amd64.deb  Cannot initiate the connection to security.debian.org:80 (2001:a78:5:0:216:35ff:fe7f:be4f). - connect (101: Network is unreachable) [IP: 2001:a78:5:0:216:35ff:fe7f:be4f 80]


    Mail:

    Code
    postfix/smtp[10845]: connect to alt1.gmail-smtp-in.l.google.com[2404:6800:4008:c03::1a]:25: Network is unreachable
    postfix/smtp[10845]: connect to alt2.gmail-smtp-in.l.google.com[2404:6800:4008:c00::1a]:25: Network is unreachable


    IPtables konfig:


    Es muss ein Fehler in der Konfig sein, vlt. ist von euch jemand wacher und sieht den Fehler :D
    Ein einfacher Ping nach außen funktioniert schon nicht.. Ich dachte, dass ist ausreichend:
    -A OUTPUT -j ACCEPT


    Gruß

  • Die ausgehenden Pakete sind nicht das Problem. Mit der Regel
    -A INPUT -j REJECT
    lehnst du die Antwortpakete ab!


    Abhilfe:
    iptables -I INPUT 2 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT


    Für IPv6:
    ip6tables -I INPUT 1 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

  • Danke für die Antwort!


    Wenn ich das andere dann entferne sind dann weiterhin die anderen Ports offen, die ich quasi zu vor geschlossen bzw. abgewiesen habe.?

  • -A INPUT -j REJECT
    würde ich besser durch
    -A INPUT -j DROP
    ersetzen. Da so der Absender keine ICMP Nachricht erhält.
    Und ganz oben:
    -A INPUT -i lo -j ACCEPT
    -A INPUT -f -j DROP