@William <br><br>Definitely a good idea to break the LOG rule into two (and to log the local traffic as well)... the log files revealed the ports that need to be opened. <br><br>DROP LOCAL IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1 LEN=65 TOS=0x00 PREC=0x00 TTL=64 ID=60569 DF PROTO=UDP SPT=50260 DPT=53 LEN=45 <br>
DROP LOCAL IN= OUT=lo SRC=127.0.0.1 DST=127.0.0.1 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=7439 DF PROTO=TCP SPT=35069 DPT=631 WINDOW=32792 RES=0x00 SYN URGP=0 OPT (0204400C0402080AFFFC83160000000001030307) <br>DROP LOCAL IN= OUT=lo SRC=127.0.0.1 DST=127.0.0.1 LEN=60 TOS=0x10 PREC=0x00 TTL=64 ID=35891 DF PROTO=TCP SPT=55455 DPT=4713 WINDOW=32792 RES=0x00 SYN URGP=0 OPT (0204400C0402080AFFFC24AD0000000001030307) <br>
<br>The default policy for the chains is set to DROP, so I had to let the packets through:<br><br>$IPTABLES -A INPUT -i lo -p udp --dport 53 -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT<br>$IPTABLES -A INPUT -i lo -p tcp --dport 631 --syn -m state --state NEW -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT<br>
$IPTABLES -A INPUT -i lo -p tcp --dport 4713 --syn -m state --state NEW -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT<br><br>$IPTABLES -A OUTPUT -p udp --dport 53 -m state --state NEW -j ACCEPT<br>$IPTABLES -A OUTPUT -o lo -p tcp --dport 631 --syn -m state --state NEW -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT<br>
$IPTABLES -A OUTPUT -o lo -p tcp --dport 4713 --syn -m state --state NEW -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT<br><br>The login was local, and in order to be as restrictive as possible I allow only packets from 127.0.0.1. <br>
<br>@Lennart, @Neil, @Ben<br><br>I will look into using shorewall and cfengine as well. However, I prefer the raw tools. <br><br>Thanks!<br><br><br><br><div class="gmail_quote">On Fri, Jun 1, 2012 at 8:12 PM, Ben Walton <span dir="ltr"><<a href="mailto:bdwalton-Re5JQEeQqe8AvxtiuMwx3w@public.gmane.org" target="_blank">bdwalton-Re5JQEeQqe8AvxtiuMwx3w@public.gmane.org</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">> With a little work I was even able to manage Shorewall with Cfengine<br>
> including check live rules.<br>
<br>
</div>I build my files dynamically based on lookups from dyndns services and<br>
then distribute the results with cfengine.  This lets clients roam<br>
around and have the access to various systems open up for them by<br>
simply updating a dynamic registration.  It's pretty slick.<br>
<div class="im HOEnZb"><br>
Thanks<br>
-Ben<br>
--<br>
---------------------------------------------------------------------------------------------------------------------------<br>
Ben Walton <<a href="mailto:bdwalton-Re5JQEeQqe8AvxtiuMwx3w@public.gmane.org">bdwalton-Re5JQEeQqe8AvxtiuMwx3w@public.gmane.org</a>><br>
<br>
Take the risk of thinking for yourself.  Much more happiness,<br>
truth, beauty and wisdom will come to you that way.<br>
<br>
-Christopher Hitchens<br>
---------------------------------------------------------------------------------------------------------------------------<br>
</div><div class="HOEnZb"><div class="h5">--<br>
The Toronto Linux Users Group.      Meetings: <a href="http://gtalug.org/" target="_blank">http://gtalug.org/</a><br>
TLUG requests: Linux topics, No HTML, wrap text below 80 columns<br>
How to UNSUBSCRIBE: <a href="http://gtalug.org/wiki/Mailing_lists" target="_blank">http://gtalug.org/wiki/Mailing_lists</a><br>
</div></div></blockquote></div><br>