[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: 2 Firewall-Fragen

Hallo Joerg,
wie in einer anderen Mail (die ich noch nicht über die Liste bekommen
habe) schon gesagt...mein Problem war eigentlich, daß ich eth0 verwendet
habe. Da DSL über pppoe läuft, muß es ppp0 sein. Habe das mehr durch
Zufall herausgefunden und jetzt funzt es...
also sind jetzt die Roules dran...

* Joerg Friedrich <Joerg.Dieter.Friedrich@uni-konstanz.de> [010213 22:09]:
> Ulrich Wiederhold schrieb am Dienstag, 13. Februar 2001 um 18:55:19 +0100:
> > # Kette erstellen, die neue Verbindung blockt, es sei denn, sie kommen
> > # von innen
> > iptables -N block
> > iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT  #1
> > iptables -A block -m state --state NEW -i ! $EXTERNES_INTERFACE -j #2
> > ACCEPT
> 
> die regel verstehe ich jetzt nicht. ok du laesst nur ESTABLISHED,RELATED von 
> aussen zu, aber dann doch auch NEW? das ist doch wiedersinnig! 
Das ist aus Rustys Packet Filtering HOWTO.

#1 erlaubt established und related, aber keinen neuen Verbindungsaufbau.
Das wird in #2 erlaubt, aber nur, wenn NEW _nicht_ über ppp0 reinkommt. 
Hast Du einfach _!_ übersehen oder verstehe ich da was nicht richtig?

> > # Kette erstellen, die ausgehenden Traffic erlaubt
> > iptables -N allout
> > iptables -A allout -i $EXTERNES_INTERFACE -j ACCEPT
>                      ^^ 
> manpage von iptables genauer lesen! -i ist nur bei 
> den chains INPUT, FORWARD und PREROUTING erlaubt
> bei OUTGOING _mußt_ Du -o nehmen!!!
Ups, das habe ich schon ein paarmal woanders korrigiert, muß ich hier
wohl übersehen haben, danke.

> wie schon jemand geschrieben hat: warum kompliziert, wenn Du nur
> 2 regeln hast kannst mußt Du nicht unbedingt den umweg über eine 
> seperate chain gehen!
Hmm, keine Ahnung. Bei ipchains dokus war das nicht so, aber da es
eigentlich bei fast allen iptables Dokus so gemacht wurde...

Wird ja mit ftp-Server und ssh nochwas komplizierter...

Werden bei default policy drop eigentlich alle ports geblockt, egal ob
unter oder oberhalb von 1024?
Oder muß ich nach einem Allow für bestimmte ports (z.B. ftp=21) nochmal
alles dicht machen?

Was für einen Vorteil hat es, explizit die Port für X-server, usw.
dichtzumachen, wenn das durch die Policy sowieso schon gewährleistet
wird bzw. sowieso alles nochmal gedropt wird, am Ende einer chain?

Noch eine Frage, die ich aus der Doku nicht so ganz verstanden habe...
Worin besteht genau der Unterschied zwischen DROP und RETURN?

> Du versuchst einen Chain zu leeren, die es noch nicht gibt.
> Bei mir ist das drin, weil ich mein firewall-script nach jedem 
> einwahlvorgang automatisch aufrufe, um die regeln an die neue
> dyn. ip-addresse anzupassen

Hatte ich auch so vor...
nur habe ich noch ein "Killscript" eingeplant, das die Module wieder
entlädt und die chains löscht.

Danke für die Tips.
Uli

--
-----------------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie bitte eine
E-Mail an debian-user-de-request@lehmanns.de die im Subject
"unsubscribe <deine_email_adresse>" enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@Lehmanns.de
-----------------------------------------------------------

670 eingetragene Mitglieder in dieser Liste.
Reply to: