Re: iptables

To: debian-user-german@lists.debian.org
Subject: Re: iptables
From: Andreas Kretschmer <andreas.kretschmer@schollglas.com>
Date: Mon, 29 Nov 2004 13:56:11 +0100
Message-id: <[🔎] 20041129125610.GA981@Pinguin.wug-glas.de>
In-reply-to: <[🔎] 20041129120938.GA4583@server.linau.de>
References: <[🔎] 1101661149.4794.24.camel@Moe> <[🔎] 20041128191757.GA7774@kaufbach.delug.de> <[🔎] 1101722377.4189.43.camel@Moe> <[🔎] 20041129105459.GD2494@server.linau.de> <[🔎] 1101726615.5109.4.camel@Moe> <[🔎] 20041129120938.GA4583@server.linau.de>

am  29.11.2004, um 13:09:38 +0100 mailte Christian Schmidt folgendes:
> Hallo Martin,
> 
> Martin Röhricht, 29.11.2004 (d.m.y):
> 
> > Mmh. Also mit seiner aktivierten SuSE Firewall kommt folgendes, wenn er
> > versucht zu drucken (was nicht funktioniert):
> > 
> > Nov 28 20:26:37 bach kernel: SFW2-INext-DROP-DEFLT-INV IN=eth0 OUT= 
> > MAC=00:08:02:67:54:29:00:c0:02:fc:6b:5d:08:00 SRC=192.168.0.11 
> > DST=192.168.0.2 LEN=44 TOS=0x00 PREC=0x00 TTL=30 ID=63126 PROTO=TCP 
> > SPT=80 DPT=1160 WINDOW=1514 RES=0x00 ACK PSH SYNURGP=0 OPT (020405EA)
> 
> Das heisst aber, dass der Printserver (SRC) eine Verbindung von seinem
> Port 80 (SPT) an Port 1160 (DPT) von bach "aufbauen" will.
> Ich vermute aber, dass diese Verbindung nur zu einer anderen gehoert -
> aufgrund des "ACK" in der letzten Zeile...

ACK. Oder der Client ist ein XP, weil die machen, zumindest bei
Zugriffen auf Freigaben, erst mal ein Test auf 80 (WebDAV).
Möglicherweise halt auch beim drucken, keine Ahnung.


> iptables -A INPUT -p tcp -s 192.168.0.11 -d 12.168.0.2 -m state \
> --state ESTABLISHED,RELATED -j ACCEPT
> erweitert, sollten die o.a. Pakete _IMO_ nicht mehr geblockt werden.

Ja, man sollte die Fähigkeiten von iptables nutzen. Und das stateful
filtering ist eine wesentliche Fähigkeit von itables.

> > Da ist irgendwie immer nur von Port 80 die Rede. Rechner liegt an
> > 192.168.0.2 und Printserver auf 192.168.0.11
> 
> Allmaehlich solltest Du mal erwaehnen, wie (d.h. ueber welches
> Protokoll) Ihr den Drucker ansprecht. ;-)

ACK.


> Darueberhinaus wuerde ich mich an Eurer Stelle fragen, ob Ihr
> ueberhaupt einen Paketfilter braucht. Oftmals kommt man auch ganz gut
> ohne aus.
> Und bei der Absicherung eines Systems sollte man nicht mit der
> Einrichtung eines Paketfilters beginnen...

ACK.


Andreas
-- 
Andreas Kretschmer    (Kontakt: siehe Header)
               Tel. NL Heynitz:  035242/47212
GnuPG-ID 0x3FFF606C http://wwwkeys.de.pgp.net
 ===    Schollglas Unternehmensgruppe    ===

Reply to:

References:
- iptables
  - From: Martin Röhricht <roehricht@ira.uka.de>
- Re: iptables
  - From: Andreas Kretschmer <andreas_kretschmer@despammed.com>
- Re: iptables
  - From: Martin Röhricht <roehricht@ira.uka.de>
- Re: iptables
  - From: Christian Schmidt <christian.schmidt@chemie.uni-hamburg.de>
- Re: iptables
  - From: Martin Röhricht <roehricht@ira.uka.de>
- Re: iptables
  - From: Christian Schmidt <christian.schmidt@chemie.uni-hamburg.de>

Prev by Date: Re: mISDN & Capi
Next by Date: Re: lilo und lba32
Previous by thread: Re: iptables
Next by thread: qemu
Index(es):
- Date
- Thread