[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [Debian]:firewall: ipchains rules

Matthias Wolle <ma_wo@gmx.de> writes:

> meine frage: wenn ich in Input ein Packet akzeptiere kann ich das dann noch
> forwarden(masq)? 
> eigentlich nicht oder?

Doch.

Vielleicht mal ein klein wenig Grundlagen:

Ein Paket, dass auf dem Router selber erzeugt wird, geht nur durch
input, sondern max. durch forward und output. Durch forward gehen
alles Pakete, die geforwarded, also geroutet werden, d.h. diejenigen,
die von einem Interface auf ein anderes wollen (z.B. lo nach eth0 oder
eth0 nach eth1). Durch die input Regeln laufen nur Pakete, die von
aussen kommen.

Davon abgesehen sind die 3 Bereiche input, forward, output
unabhaengig. Wenn ich also alles auf default deny stelle, muss ich
fuer jede Queue eine Regel erstellen, wenn ein Paket z.B. von eth0
nach eth1 geroutet werden soll, also ich muss in input die Annahme von
eth0 erlauben, in forward muss ich das weiterleiten auf eth1 erlauben
und in output muss ich die Ausgabe auf eth1 erlauben.

Wenn sich der Router also mit deinem Netz unterhalten koennen soll,
sind schon mal mind. 6 Regeln faellig (soll ja in beide Richtungen
klappen; mehr als 6 Regeln, falls du auch intern bestimmte Dinge
sperren willst).

-- 
Until the next mail...,
Stefan.
------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie
bitte eine E-Mail an majordomo@jfl.de die im Body
"unsubscribe debian-user-de <deine emailadresse>"
enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@jfl.de
------------------------------------------------
Anzahl der eingetragenen Mitglieder:     729
Reply to: