Re: Nextcloud nicht erreichbar
Verfasst: Sonntag 1. September 2024, 22:20
ChatGPT: Danke für die Rückmeldung! Es ist gut zu wissen, dass das Let's Encrypt-Zertifikat gültig ist und der Domainname korrekt übereinstimmt. Das Ergebnis "DNS CAA: No" von SSL Labs ist keine direkte Ursache für das Problem, aber es gibt uns einen weiteren Hinweis.
Was bedeutet "DNS CAA: No"?
Das "DNS Certification Authority Authorization (CAA)" ist ein optionaler DNS-Eintrag, der angibt, welche Zertifizierungsstellen (CAs) berechtigt sind, Zertifikate für eine Domain auszustellen. Ein Fehlen des CAA-Eintrags ("DNS CAA: No") bedeutet lediglich, dass keine Einschränkungen festgelegt sind, welche CA Zertifikate für die Domain ausstellen darf. Das sollte normalerweise nicht zu einer Fehlermeldung führen, es sei denn, deine DNS-Konfiguration hat Probleme.
Nächster Schritt: DNS-Konfiguration und HTTPS-Einstellungen überprüfen
1. Überprüfe die HTTPS-Konfiguration auf dem Synology-Server: Es könnte sein, dass die HTTPS-Konfiguration auf deinem Synology-Server die Verbindung beeinträchtigt. Stelle sicher, dass der Webserver auf dem Synology-Server (z. B. Apache oder Nginx) korrekt konfiguriert ist, um die vollständige Zertifikatskette bereitzustellen.
◦ Öffne die Systemsteuerung auf deinem Synology-Server.
◦ Gehe zu Netzwerk > DSM-Einstellungen und überprüfe die HTTPS-Einstellungen.
◦ Stelle sicher, dass das Let's Encrypt-Zertifikat korrekt ausgewählt ist und dass HTTPS-Verbindungen aktiviert sind.
2. DNS-Fehlerquellen auf dem Manjaro-Rechner prüfen:
Da du erwähnst, dass du die Nextcloud-Instanz nur per IP-Adresse und nicht per Domainnamen erreichen kannst, könnten folgende Ursachen vorliegen:
• DNS-Einträge lokal überschreiben: Überprüfe, ob auf deinem Manjaro-Rechner spezielle DNS-Einstellungen vorhanden sind, die die Domainauflösung beeinträchtigen könnten:
cat /etc/nsswitch.conf
Suche in der Ausgabe nach der Zeile hosts: und teile mir mit, welche Einträge dort stehen (z.B. files dns).
3. Manuelles Hinzufügen der Domain zur /etc/hosts-Datei als temporärer Workaround:
Als temporäre Lösung kannst du die Domain mit der zugehörigen IP-Adresse zur /etc/hosts-Datei auf deinem Manjaro-System hinzufügen, um zu prüfen, ob das Problem damit behoben wird:
sudo nano /etc/hosts
Füge folgende Zeile hinzu:
11.11.11.11 dein.domainname.com
Speichere die Datei und versuche erneut, die Nextcloud-Instanz per Domainnamen zu erreichen.
Frage:
• Welche Einträge sind in der hosts:-Zeile der /etc/nsswitch.conf-Datei?
• Funktioniert die Verbindung zur Nextcloud-Instanz nach dem Hinzufügen zur /etc/hosts-Datei?
ChatGPT: Danke für die Informationen und das Bild. Lass uns die relevanten Details durchgehen:
Analyse der aktuellen Situation:
1. DSM-Einstellungen und ARP-Anfragen: Die Optionen im Bild, insbesondere "Antwort auf ARP-Anfrage, wenn die Ziel-IP-Adresse die lokale Adresse ist", sind hauptsächlich für Netzwerkkommunikation auf der ARP-Ebene (Adressauflösungsprotokoll) relevant. Diese Option ist für die Erreichbarkeit per Domainname über HTTPS weniger wichtig und sollte das Problem nicht direkt beeinflussen.
2. nsswitch.conf-Konfiguration: Die Zeile hosts: mymachines mdns_minimal [NOTFOUND=return] resolve [!UNAVAIL=return] files myhostname dns zeigt an, dass dein System eine spezifische Reihenfolge zur Namensauflösung verwendet:
◦ mymachines und mdns_minimal: Diese beziehen sich auf die Auflösung von Hostnamen im lokalen Netzwerk.
◦ resolve: Verwendet systemd-resolved, der in deinem Fall deaktiviert ist, was zu Problemen führen könnte.
◦ files und dns: Greift auf die /etc/hosts-Datei und schließlich auf das DNS zurück.
Da resolve verwendet wird, obwohl systemd-resolved auf deinem System deaktiviert ist, könnte das zu einem Problem führen, wenn DNS-Anfragen nicht korrekt weitergeleitet werden.
Nächster Schritt: Anpassungen an nsswitch.conf und /etc/hosts
1. nsswitch.conf-Datei anpassen: Versuche, die resolve-Option in der nsswitch.conf-Datei zu entfernen, um sicherzustellen, dass das System die DNS-Namensauflösung über das dns-Modul und nicht über systemd-resolved durchführt:
Öffne die Datei mit einem Texteditor wie nano:
sudo nano /etc/nsswitch.conf
Ändere die Zeile von:
hosts: mymachines mdns_minimal [NOTFOUND=return] resolve [!UNAVAIL=return] files myhostname dns
zu:
hosts: files dns myhostname
Speichere die Änderungen und starte deinen Rechner neu.
2. Überprüfung der /etc/hosts-Lösung: Falls noch nicht geschehen, füge die Domain und die zugehörige IP-Adresse in die /etc/hosts-Datei ein, wie ich in meiner vorherigen Nachricht beschrieben habe.
Frage:
• Funktioniert die Namensauflösung nach der Anpassung der nsswitch.conf-Datei und/oder dem Hinzufügen der Domain zur /etc/hosts-Datei besser?
USER: Nein, beide Änderungen habe keine Verbesserung gebracht
ChatGPT: Danke für die Rückmeldung. Da die Änderungen an der nsswitch.conf-Datei und das Hinzufügen zur /etc/hosts-Datei keine Verbesserung gebracht haben, gehen wir davon aus, dass das Problem möglicherweise tiefer in der Netzwerk- oder SSL-Konfiguration liegt.
Weitere mögliche Ursachen und Lösungen:
1. DNS- und Netzwerk-Konfiguration auf dem Router prüfen: Da die Fehlermeldung im Browser auf eine unsichere Verbindung hinweist und andere Geräte im Netzwerk keine Probleme haben, könnte es an einer spezifischen Netzwerkkonfiguration deines Manjaro-Rechners oder des Routers liegen.
Schritte:
◦ Gehe zu den DNS-Einstellungen auf deinem Router (FRITZ!Box) und stelle sicher, dass der DNS-Server korrekt konfiguriert ist und keine speziellen Filter oder Blockierungen für den Manjaro-Rechner vorhanden sind.
◦ Versuche, den DNS-Server des Routers temporär zu ändern, z.B. auf den öffentlichen DNS von Google (8.8.8.8 und 8.8.4.4) oder Cloudflare (1.1.1.1 und 1.0.0., um zu sehen, ob die Verbindung dann klappt.
2. Überprüfen der Zertifikatskette und HTTPS-Weiterleitungen:
◦ Wenn das SSL-Zertifikat korrekt ist, könnte das Problem an fehlenden HTTPS-Weiterleitungen oder einer falschen HTTPS-Konfiguration auf dem Synology-Server liegen.
◦ Überprüfe, ob deine Nextcloud-Instanz korrekt auf HTTPS konfiguriert ist. Stelle sicher, dass keine HTTP-zu-HTTPS-Umleitungen fehlen und dass der Synology-Server so konfiguriert ist, dass er die gesamte Zertifikatskette bereitstellt.
3. Firewall- und Netzwerk-Sicherheitssoftware auf dem Manjaro-Rechner:
◦ Manjaro oder eine zusätzliche Sicherheitssoftware könnte DNS- oder HTTPS-Verkehr blockieren.
◦ Überprüfe die Firewall-Einstellungen und stelle sicher, dass keine ausgehenden Verbindungen zu Port 443 (HTTPS) oder spezifischen DNS-Servern blockiert werden.
◦ Versuche, die Firewall temporär zu deaktivieren, um zu prüfen, ob das Problem dadurch behoben wird.
Frage:
• Kannst du den DNS-Server auf deinem Router temporär ändern, wie oben beschrieben, und prüfen, ob das Problem dadurch gelöst wird?
• Gibt es spezielle Firewall- oder Netzwerksicherheits-Tools auf deinem Manjaro-System, die den Zugriff blockieren könnten?
USER: Ich habe den DNS-Server im Router geändert aber ohne Erfolg. Es gibt keine mir bekannten Firewall- oder Netzwerksicherheits-Tools auf meinem Manjaro-System. Durch Herumprobieren habe ich jetzt einen Teilerfolg erzielen können und das Problem eingrenzen können: Nachdem ich die Firewall auf dem Synology Server deaktiviert hatte, konnte ich problemlos über den Domainnamen auf die Nextcloud-Instanz zugreifen. Der Grund, warum alle anderen Geräte im Netzwerk auf die Nextcloud-Instanz mittels Domainnamen zugreifen konnten aber der Manjaro Rechner nicht war, dass alle anderen Geräte über eine VPN-Verbindung ins Internet gingen und der Manjaro Rechner hat noch keinen VPN Zugang. Bitte helfe mir mit den neuen Informationen herauszufinden wie ich auch ohne VPN mit meinem Manjaro Rechner mittels Domainnamen auf die Nextcloud-Instanz zugreifen kann.
ChatGPT: Danke für die neuen Informationen! Es scheint, dass die Firewall-Einstellungen auf dem Synology-Server den Zugriff von Geräten ohne VPN blockieren. Wenn die anderen Geräte über VPN zugreifen und dein Manjaro-Rechner nicht, könnte die Firewall auf dem Synology-Server so konfiguriert sein, dass sie nur Verbindungen von bestimmten IP-Adressen oder IP-Bereichen zulässt.
Schritte zur Lösung:
1. Firewall-Konfiguration auf dem Synology-Server überprüfen und anpassen:
Du musst sicherstellen, dass der Manjaro-Rechner in den Firewall-Einstellungen des Synology-Servers zugelassen ist. Dies kannst du folgendermaßen tun:
◦ Melde dich auf deinem Synology-Server an.
◦ Gehe zu Systemsteuerung > Sicherheit > Firewall.
◦ Überprüfe die bestehenden Regeln und schaue nach, ob es Regeln gibt, die Zugriffe basierend auf IP-Adressen erlauben oder blockieren.
Folgende Anpassungen solltest du prüfen:
◦ Regel hinzufügen oder anpassen, um den Zugriff von der IP-Adresse deines Manjaro-Rechners zu erlauben:
▪ Füge eine neue Regel hinzu, die die IP-Adresse deines Manjaro-Rechners oder den gesamten IP-Adressbereich deines lokalen Netzwerks zulässt.
▪ Stelle sicher, dass die Regel für den gesamten HTTP- (Port 80) und HTTPS- (Port 443) Verkehr gilt.
▪ Platziere diese Regel an einer hohen Position in der Regel-Reihenfolge, damit sie angewendet wird.
◦ Überprüfe bestehende Blockierungsregeln:
▪ Überprüfe, ob es spezifische Regeln gibt, die möglicherweise den Zugriff von deinem Manjaro-Rechner blockieren (z.B. eine Blockierungsregel für den Standard-IP-Bereich deines Routers).
2. Testen der neuen Firewall-Konfiguration:
◦ Nachdem du die Firewall-Regeln angepasst hast, aktiviere die Firewall erneut und teste, ob du nun mit deinem Manjaro-Rechner über den Domainnamen auf die Nextcloud-Instanz zugreifen kannst.
3. Optionale Lösung: Statische IP oder DHCP-Reservierung verwenden:
Wenn dein Manjaro-Rechner eine dynamische IP-Adresse über DHCP vom Router erhält, könnte sich diese ändern, und die Firewall-Regeln könnten dann nicht mehr funktionieren. Du kannst auf deinem Router eine DHCP-Reservierung für deinen Manjaro-Rechner einrichten, damit er immer die gleiche IP-Adresse erhält.
Frage:
• Kannst du die Firewall-Regeln auf dem Synology-Server überprüfen und gegebenenfalls eine Regel hinzufügen, die den Zugriff von der IP-Adresse deines Manjaro-Rechners erlaubt?
• Teste danach, ob der Zugriff ohne VPN möglich ist, und lass mich wissen, ob es funktioniert.
USER: Wie kann ich auf die Firewall-Regeln im Synology Server auf Terminal-Ebene zureifen um sie dir zu übermitteln?
ChatGPT: Um auf die Firewall-Regeln auf einem Synology-Server über die Terminal-Ebene zuzugreifen, kannst du dich per SSH (Secure Shell) verbinden. Synology-Server verwenden normalerweise iptables, um die Firewall-Regeln zu verwalten.
Hier sind die Schritte, um die Firewall-Regeln zu überprüfen und sie dir zu übermitteln:
Schritt 1: Verbindung per SSH zum Synology-Server herstellen
1. SSH auf dem Synology-Server aktivieren:
◦ Gehe zu Systemsteuerung > Terminal & SNMP > Terminal.
◦ Aktiviere SSH-Dienst aktivieren und klicke auf Übernehmen.
2. Mit dem Terminal auf deinem Manjaro-Rechner eine Verbindung zum Synology-Server herstellen:
◦ Öffne ein Terminal auf deinem Manjaro-Rechner.
▪ Verwende den folgenden Befehl, um dich per SSH mit deinem Synology-Server zu verbinden (ersetze USER: durch deinen Benutzernamen und synology-ip durch die IP-Adresse des Synology-Servers):
ssh USER: @synology-ip
◦ Gib dein Passwort ein, wenn du dazu aufgefordert wirst.
Schritt 2: Firewall-Regeln mit iptables abrufen
Sobald du mit deinem Synology-Server per SSH verbunden bist, kannst du die aktuellen Firewall-Regeln anzeigen, indem du den folgenden Befehl eingibst:
sudo iptables -L -v -n
Dieser Befehl zeigt eine detaillierte Liste aller Firewall-Regeln auf dem Synology-Server an.
• -L: Listet alle Regeln auf.
• -v: Detaillierte (verbose) Ausgabe.
• -n: Deaktiviert die Namensauflösung, um die Ausgabe zu beschleunigen.
Schritt 3: Firewall-Regeln kopieren und übermitteln
• Kopiere die Ausgabe des iptables-Befehls und füge sie hier ein, damit wir die Regeln überprüfen und dir weitere Anweisungen geben können.
Falls die Ausgabe sehr lang ist, kannst du auch gezielt nach bestimmten Chains filtern, z.B.:
sudo iptables -L INPUT -v -n
Dieser Befehl zeigt nur die Regeln für die INPUT-Kette an, die eingehende Verbindungen betreffen.
Frage:
• Kannst du die iptables-Regeln auflisten und mir die relevanten Informationen übermitteln?
USER: WELCHE sind die relevanten Informationen?
ChatGPT: Die relevanten Informationen aus den iptables-Firewall-Regeln helfen uns zu verstehen, wie der Synology-Server eingehende Verbindungen behandelt, insbesondere für die Domain, die du verwenden möchtest. Folgendes ist wichtig:
1. Regeln für eingehende Verbindungen (INPUT-Kette):
◦ Diese Regeln zeigen an, welche Verbindungen von außen zum Synology-Server zugelassen oder blockiert werden. Wir suchen nach Regeln, die den Zugriff auf HTTP (Port 80) und HTTPS (Port 443) betreffen.
2. Regeln für Weiterleitungen (FORWARD-Kette):
◦ Diese Regeln zeigen, wie Daten weitergeleitet werden. Sie sind relevant, wenn dein Synology-Server als Router oder Proxy verwendet wird. Dies ist weniger wahrscheinlich, aber gut zu überprüfen, um sicherzugehen.
3. Filter für spezifische IP-Adressen oder Netzwerke:
◦ Schau nach Regeln, die Zugriffe nur von bestimmten IP-Adressen zulassen oder blockieren. Wir möchten sicherstellen, dass die IP-Adresse deines Manjaro-Rechners (oder der Adressbereich deines lokalen Netzwerks) nicht blockiert wird.
Befehle zum Abrufen der relevanten Informationen
Nutze die folgenden Befehle, um die relevanten Regeln zu erhalten:
1. Eingehende Verbindungen (INPUT-Kette):
sudo iptables -L INPUT -v -n
2. Regeln für Weiterleitungen (FORWARD-Kette):
sudo iptables -L FORWARD -v -n
3. Regeln für HTTP und HTTPS (tcp-Protokoll auf Port 80 und 443):
sudo iptables -L -v -n | grep -E "dpt:80|dpt:443"
Diese Befehle geben die spezifischen Regeln für die Ketten INPUT und FORWARD sowie alle Regeln aus, die den Zugriff auf die Ports 80 (HTTP) und 443 (HTTPS) betreffen. Achte besonders auf:
• Regeln, die mit "DROP" oder "REJECT" markiert sind: Diese blockieren Verbindungen.
• Regeln, die IP-Adressen oder Netzwerke beinhalten: Diese könnten den Zugriff deines Manjaro-Rechners verhindern.
Welche Informationen sind relevant?
• Jede Regel in der INPUT- oder FORWARD-Kette, die Port 80 oder 443 betrifft.
• Regeln, die Verbindungen von deiner lokalen Netzwerk-IP (z.B. 192.168.x.x) oder einem bestimmten IP-Bereich zulassen oder blockieren.
• Regeln, die auf ein spezifisches Interface oder Protokoll (TCP/UDP) abzielen.
Was tun, wenn die Ausgabe groß ist?
Wenn die Ausgabe umfangreich ist, kannst du die wichtigsten Regeln herausfiltern oder mir mitteilen, ob du spezifische Einträge siehst, die Verbindungen auf Port 80 oder 443 blockieren oder nur bestimmte IP-Adressen zulassen.
USER: iptables -L INPUT_FIREWALL -v -n Chain INPUT_FIREWALL (1 references) pkts bytes target prot opt in out source destination
32860 20M ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
90288 87M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 0 0 RETURN all -- eth0 * 10.0.0.88 0.0.0.0/0
325 120K RETURN all -- eth0 * 10.0.0.0/24 0.0.0.0/0
0 0 RETURN all -- eth0 * 172.20.10.11 0.0.0.0/0
0 0 DROP all -- eth0 * 0.0.0.0/0 0.0.0.0/0 -m geoip --source-country A1,A2,AD,AE,AF,AG,AI,AL,AM,AO,AP,AQ,AR,AS,AU 0 0 DROP all -- eth0 * 0.0.0.0/0 0.0.0.0/0 -m geoip --source-country AW,AX,AZ,BA,BB,BD,BE,BF,BG,BH,BI,BJ,BL,BM,BN 1 44 DROP all -- eth0 * 0.0.0.0/0 0.0.0.0/0 -m geoip --source-country BO,BQ,BR,BS,BT,BV,BW,BY,BZ,CA,CC,CD,CF,CG 0 0 DROP all -- eth0 * 0.0.0.0/0 0.0.0.0/0 -m geoip --source-country CI,CK,CL,CM,CN,CO,CR,CU,CV,CW,CX,CY,DJ,DK 0 0 DROP all -- eth0 * 0.0.0.0/0 0.0.0.0/0 -m geoip --source-country DM,DO,DZ,EC,EE,EG,EH,ER,ES,ET,EU,FI,FJ,FK,FM 0 0 DROP all -- eth0 * 0.0.0.0/0 0.0.0.0/0 -m geoip --source-country FO,FR,GA,GB,GD,GE,GF,GG,GH,GI,GL,GM,GN,GP,GQ 0 0 DROP all -- eth0 * 0.0.0.0/0 0.0.0.0/0 -m geoip --source-country GR,GS,GT,GU,GW,GY,HK,HM,HN,HR,HT,HU,ID,IE,IL 0 0 DROP all -- eth0 * 0.0.0.0/0 0.0.0.0/0 -m geoip --source-country IM,IN,IO,IQ,IR,IS,IT,JE,JM,JO,JP,KE,KG,KH,KI 0 0 DROP all -- eth0 * 0.0.0.0/0 0.0.0.0/0 -m geoip --source-country KM,KN,KP,KR,KW,KY,KZ,LA,LB,LC,LI,LK,LR,LS,LT 0 0 DROP all -- eth0 * 0.0.0.0/0 0.0.0.0/0 -m geoip --source-country LU,LV,LY,MA,MC,MD,ME,MF,MG,MH,MK,ML,MM,MN,MO 0 0 DROP all -- eth0 * 0.0.0.0/0 0.0.0.0/0 -m geoip --source-country MP,MQ,MR,MS,MT,MU,MV,MW,MY,MZ,NA,NC,NE,NF 0 0 DROP all -- eth0 * 0.0.0.0/0 0.0.0.0/0 -m geoip --source-country NG,NI,NO,NP,NR,NU,NZ,OM,PA,PE,PF,PG,PH,PK 3 152 DROP all -- eth0 * 0.0.0.0/0 0.0.0.0/0 -m geoip --source-country PL,PM,PN,PR,PS,PT,PW,PY,QA,RE,RO,RS,RU,RW,SA 0 0 DROP all -- eth0 * 0.0.0.0/0 0.0.0.0/0 -m geoip --source-country SB,SC,SD,SE,SG,SH,SI,SJ,SK,SL,SM,SN,SO,SR,SS 0 0 DROP all -- eth0 * 0.0.0.0/0 0.0.0.0/0 -m geoip --source-country ST,SV,SX,SY,SZ,TC,TD,TF,TG,TH,TJ,TK,TL,TM,TN 0 0 DROP all -- eth0 * 0.0.0.0/0 0.0.0.0/0 -m geoip --source-country TO,TR,TT,TV,TW,TZ,UA,UG,UM,UY,UZ,VA,VC,VE 38 2280 DROP all -- eth0 * 0.0.0.0/0 0.0.0.0/0 -m geoip --source-country VG,VI,VN,VU,WF,WS,XK,YE,YT,ZA,ZM,ZW 0 0 RETURN udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 multiport sports 137,138 0 0 RETURN tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:548 0 0 RETURN tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 multiport dports 137,138,139,445 0 0 RETURN udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 multiport dports 137,138,139,445 0 0 RETURN tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 multiport dports 50002,50001 9 3309 RETURN udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:1900 0 0 RETURN tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5001 0 0 RETURN tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 1 60 RETURN tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 multiport dports 25,465,587,110,995,143,993 0 0 RETURN tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 multiport dports 21,55536:55551 0 0 RETURN tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8082 0 0 RETURN udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:8082 0 0 RETURN tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3307 0 0 RETURN tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:9000 17 1020 RETURN tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443 0 0 RETURN tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3000 0 0 RETURN tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5006 0 0 RETURN tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3689 0 0 RETURN tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3478 0 0 RETURN udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:3478 0 0 RETURN tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8200 0 0 RETURN tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8132 0 0 RETURN tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3128 0 0 RETURN udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:3128 0 0 RETURN tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 multiport dports 8069,8071,8072 0 0 DROP all -- eth0 * 0.0.0.0/0 0.0.0.0/0