Re: Newbie DSL-Firewall mit woody
Hugo Wau schrieb:
> Wenn ich iptables richtig verstehe, findet die Filterung auf der,
> dem eigenen LAN-zugewandten, Seite statt. Ich würde lieber
> dicht an ppp0 filtern und droppen.
"dicht"? Das ist eine völlig falsche Vorstellung.
Genau aus diesem Grund bin ich bei diesem Thema begrifflich auch etwas
penibler: iptables ist nur das Kommando/Userprogramm, mit dem die
Netfilter-Module des Kernel administriert werden.
Ein Paket, das von der Aussenschnittstelle nach innen weitergeleitet
wird durchläuft eine ganze Reihe Stationen:
Interface extern
- ARP Tabelle/Proxy
- Mangle PREROUTING
- Nat PREROUTING
- IP Rules
- User Routing Tabelle oder
Default Routing Tabelle
- Mangle FORWARD
- Filter FORWARD
- IP Rules
- User Routing Tabelle oder
Default Routing Tabelle
- Mangle POSTROUTING
- Nat POSTROUTING
- ARP Tabelle/Proxy
Interface intern
Also ein gutes Dutzend Tabellen und Einstellmöglichkeiten. Die Hälfte
(alles in versal) kann man mit iptables administrieren. Die andere
Hälfte mit ip (Paket iproute) oder teilweise mit route/arp.
--
rainer@ellinger.de
Reply to: