Re: [Debian] ip-up/down - > ipchains -D | ipchains -F?

To: debian-user-de@jfl.de
Subject: Re: [Debian] ip-up/down - > ipchains -D | ipchains -F?
From: Janto Trappe <list@sylence.de>
Date: Sun, 14 Jan 2001 03:01:43 +0100
Message-id: <[🔎] 01011403484902.00375@client1>
In-reply-to: <[🔎] 20010114023730.A6566@chiba.dyndns.org>
References: <[🔎] 01011304385503.00243@client1> <[🔎] 01011322022000.00375@client1> <[🔎] 20010114023730.A6566@chiba.dyndns.org>

Hallo, 

Mathias Gygax wrote:

> > Frag ihn doch mal was er zahlen wuerde. ;)
> 
> geld spielt keine rolle, solange ich mir eine flatrate leisten kann.
> idealismus allerdings schon :)

;)

> > Wenn nun die Rules dazu kommen, ist wengen der Policy
> > doch trotzdem nichts "offen". Richtig?
> 
> nein, eigntlich nicht. kommt auf die rules an. wenn du eine rules hast
> die -j ACCEPT werden, kommt was durch. die default policy gilt für
> packete die auf keine rule passen. d.h. sind rules die -j ACCEPT haben
> schon mal potenziell gefährlich und sollten sorgfältig ausgewählt
> werden. allerdings wirst du keinen brauchbaren filter haben wenn du gar
> nichts frei gibst. soweit klar.

Klar, aber dann waere es ja theoretisch doch kein Problem die Rules
alle zu flushen. (Abgesehn davon das man keine manuell einfuegen kann)

> > BTW, warum eigentlich "0","3"
> > bzw. "99"?
[...]
> an allererster stelle macht. deswegen hab ich gemeint, du könntest mit
> 0firewall das script noch ehner starten als 3firewall.

Achso, hab ich mir eigentlich schon fast gedacht. thanks.

> noch sicherer wäre allerdings, die regeln schon vor der verbindung zu

Geht ja bei Dynamischer IP leider nicht.

> haben. das wär dann wieder die lösung mit /etc/init.d/firewall und
> update-rc.d . aber so wie ich dich bis jetzt verstanden habe, willst du
> das nicht.

Wieso update-rc.d? Das ist doch nur zum updaten von /etc/X.d/ -
/etc/init.d. Ich habe jetzt ein script in /etc/init.d/firewall was
nach dem booten gestartet wird.

>> Das setzt aber vorraus das die Rules fuer externe Verbindungen
>> bereits in "/etc/init.d/firewall start" stehen, also im
>> Bootscript. Right? Das moechte _ich_ nicht.

Ich hab nochmal nachgedacht: Ist schwachsinn weil die Pakete
sowieso nach ippp geforwardet und rausgelassen werden muessen, da
sonst das Dial on Demand nicht funzt. 

> wenn du nicht z.b. update-rc.d firewall defaults machst, wird beim
> booten gar nichts gestartet. alternativ dazu kannst du das script auch
> nur in /usr/local/etc/init.d/firewall haben, wenn's dich verwirrt.
[...]

> > > /etc/init.d/firewall -> /usr/local/etc/init.d/firewall
> > Ist doch eigentlich egal oder nicht? Ich kann doch genauso gut (wie
[...]
> lies den FHS. da das eigentliche script nichts mit der offiziellen
> distribution zu tun hat, gehört es unterhalb von /usr/local . der
> symlink in /etc/init.d dient der einfachheit/übersichtlichkeit.

Also packe ich das Script in /usr/local/etc/init.d/firewall, kann es
dort von ueberall aus ausfuehren und fuers booten mache ich einen
symlink von /etc/init.d/firewall auf /usr/local/init.d/firewall. Hab
ich das richtig verstanden?

[...]
> bei udp hingegen kann man mit entsprechender kenntniss der raw-sockets
> ein packet unter falscher absender-adresse an den empfänger schicken und
> der empfänger hat keine möglichkeit das zu überprüfen.

Das wusste ich nicht, wieder was dazu gelernt.

> die liste der regeln wär in dieser schlaufe immer gleich. nur die
> parameter für den port werden übergeben.

Was aber AFAIK hiesse das die Schleife nur Sinn machen wuerde wenn
ich mehrer Regeln habe die alle auf ein und die Selbe Portliste
angewendet werden muessen. Bei einer DENY Policy ist dies IMO nur
sehr selten noetig.

> nach default policy. deswegen die for schlaufe. entweder du hast eine
> default policy von deny und gibt's in der for schlaufe einzeln ports
> frei, oder du hast eine default policy von accept und sperrst einzelne

Aber man gibt halt immer die ganze Portliste auf eine oder mehrere
Regeln frei.

> YMMV. du läufst einfach die gefahr, für kurze zeit deinen input filter
> nicht sicher zu haben. allerdings nur wenn eine default policy accept
> hast. hier musst du prioritäten setzen. ist die eigentliche firewall

Gut, ich bin von DENY ausgegangen.

> sicherer und das subnetz das dahinter steckt dafür nicht mit masq
> gesichert, ist dem forward rule eine höhere priorität zu geben.

Aber ebenfalls nur bei einer ACCEPT Policy.

> [ ob das firewall-stop-script zuerst output, dann forward und am schluss
>   input löschen soll ]
> 
> > Muss es unbedingt in umgekehrter Reihenfolge sein? AFAIK nicht.

Achso, ich dachte Du meinst ich solle die Rules in umgekehrter
Reihenfolge loeschen. ;)

> es *muss* nicht. das script in /etc/ppp/ip-down.d/99firewall wird
> ohnehin erst gestartet wenn verbindung gar nicht mehr aktiv ist.

Aber warum meinst Du output zuerst? IMHO input, forward, output oder
forward, input, output.

> > IMHO irgendwie bloed wenn man manuell Regeln einfuegen will. Entweder
> > man muss dran denken sie wieder zu loeschen 
> ja, so ist das.
> > oder man kann sie nur nach der Einwahl hinzufuegen. :(
> warum? wird ja nach meinem prinzip nichts geflushed...

Ja, entweder so oder so. -F oder -D/A/I. Hat beides Vor- und
Nachteile.

> > Das Paket ipmasq ist nicht installiert und /etc/ipmasq existiert bei
> > mir ebenfalls nicht. Was macht das Paket eingetlich? Nur Scripts
> > installieren?
> 
> und was für welche!

Negativ oder Positiv?

> Description: Securely initializes IP Masquerade forwarding/firewalling

Jup, hab ich auch gelesen haette ja aber auch mehr als *nur* scripte
sein koennen.

> > Es gibt doch /proc/sys/net/ipv4/ip_dynaddr fuer Dynamische IPs. Wozu also 
> > PPP_NET=...?
> das steht nicht in ip_dynaddr :)
> wird für die auskommentierten ipchains regeln verwendet um das subnetz
> anzugeben.

Ja, -d $PPP_NET, blind muss man sein.

> aus der de-man page von route:
>        netmask Nm
>               ändert  die  Netzwerksmaske der Route, die zugefügt
>               werden soll.

Hm, dort heisst es "route add default netmask 0 $PPP_IFACE". Brauche
ich das dann auch in meinem script?

> fazit: apt-get install ipmasq

Ne ne, wenn das nur scripte sind, will ich das gerade nicht. Es sei
denn Du nennst mir einen grossen Vorteil.

> beste lösung sein als mühsam ein eigenes script zu schreiben.

Naja, das script habe ich ja schon geschrieben und laeuft ja auch
vernuenftig. Ich will es nur besser machen und 3 Sripte (boot,
ip-up, ip-down) sind mir zu unuebersichtlich. 
Ich schicke dir in ca. 20 min. (vielleicht bis du ja noch wach) mal
mein Script per PM. Waere nett wenn Du das mal angucken koenntest.

Janto

-- 
Janto Trappe       - PGP key available upon request -
Germany

--
-----------------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie bitte eine
E-Mail an debian-user-de-request@lehmanns.de die im Subject
"unsubscribe <deine_email_adresse>" enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@Lehmanns.de
-----------------------------------------------------------

685 eingetragene Mitglieder in dieser Liste.

Reply to:

Follow-Ups:
- Re: [Debian] ip-up/down - > ipchains -D | ipchains -F?
  - From: Mathias Gygax <mg@trash.net>

References:
- [Debian] ip-up/down - > ipchains -D | ipchains -F?
  - From: Janto Trappe <list@sylence.de>
- Re: [Debian] ip-up/down - > ipchains -D | ipchains -F?
  - From: Janto Trappe <list@sylence.de>
- Re: [Debian] ip-up/down - > ipchains -D | ipchains -F?
  - From: Mathias Gygax <mg@trash.net>

Prev by Date: [Debian] [PRINT] Drucken unter Potato
Next by Date: Re: [Debian] cron.deny / cron.allow
Previous by thread: Re: [Debian] ip-up/down - > ipchains -D | ipchains -F?
Next by thread: Re: [Debian] ip-up/down - > ipchains -D | ipchains -F?
Index(es):
- Date
- Thread