Re: Iptables Problem

To: Debian User List Deutsch <debian-user-german@lists.debian.org>
Subject: Re: Iptables Problem
From: Andreas Kretschmer <kretschmer@kaufbach.delug.de>
Date: Thu, 9 Jan 2003 16:16:48 +0100
Message-id: <[🔎] 20030109151648.GA3749@kaufbach>
Mail-followup-to: Andreas Kretschmer <kretschmer@kaufbach.delug.de>, Debian User List Deutsch <debian-user-german@lists.debian.org>
In-reply-to: <[🔎] 002401c2b7e8$73dcefb0$0206a8c0@shadow>
References: <[🔎] 002401c2b7e8$73dcefb0$0206a8c0@shadow>

am  Thu, dem 09.01.2003, um 15:07:32 +0100 mailte Christian Hüning folgendes:
> Hi,

Bitte keine HTML-Mail!

> meinen web.de konten ab. Nun wird doch die Standart Policy immer ans Ende eine
> Tabelle gestellt (oder?), ich setze die Input Policy also auf DROP und splitte
> die 2 Interfaces,

Ähm. Die Policy stellt man eigentlich am Anfang ein, und zwar für die
built-in - Ketten. Dazu dient -P. man-page lesen hilft weiter.


>  die ich habe auf. Einmal für Lan und einmal fürs Internet.
> Lab bekommt unbeschränkten Zugriff und Internet hat folgende Regeln:


> 
> /usr/sbin/iptables -A INPUT -i ppp0 --jump bad-in

bad-in handelt also alles, was von extern kommt.


> 
> /usr/sbin/iptables -A bad-in -p tcp -m state --state RELATED,ESTABLISHED -j
> ACCEPT
> 
> /usr/sbin/iptables -A bad-in -p udp -m state --state RELATED,ESTABLISHED -j
> ACCEPT

Damit werden Pakete zu bestehenden Verbindungen incl. dazugehöriger
Verbindungen erlaubt.


> 
> /usr/sbin/iptables -A bad-in -p tcp --dport domain -j ACCEPT
> /usr/sbin/iptables -A bad-in -p udp --dport pop3 -j ACCEPT
> /usr/sbin/iptables -A bad-in -p tcp --dport pop3 -j ACCEPT
> /usr/sbin/iptables -A bad-in -p tcp --dport www -j ACCEPT
> /usr/sbin/iptables -A bad-in -p tcp --dport https -j ACCEPT


Damit erlaubst Du, daß _von außen_ DNS, POP3, WWW zugänglich ist. Willst
Du das?

> 
> /usr/sbin/iptables -A bad-in --jump DROP

Allgemein nicht gut, sang- und klanglos wegzuwerfen, REJECT wäre besser.
Was fehlt, ist ICMP. Nicht wirklich gut, das wegzuwerfen.


> Ist nun also Input Policy auf DROP kann ich auf dem Linux Rechner nicht mehr
> surfen (w3m) und

Dazu müßte man wissen, was mit OUTPUT ist.


> 
> der Windows Client kann keine Mails mehr empfangen und komischerweise auch
> nicht senden...

Das ist nun wieder was ganz was anderes. Wenn er das soll, brauchst Du
Dinge wie IP-Masquerade oder Port-Forward.


> Ist wahrscheinlich irgendwas total Blödes aber was?

Ja. Lies die Doku, http://netfilter.samba.org. Lohnt sich, ist gut und
auch für Anfänger verständlich geschrieben.


Andreas
-- 
Diese Message wurde erstellt mit freundlicher Unterstützung eines freilau-
fenden Pinguins aus artgerechter Freilandhaltung.   Er ist garantiert frei
von Micro$oft'schen Viren. (#97922 http://counter.li.org)     GPG 7F4584DA
Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082°, E 13.56889° ;-)

Attachment: pgp9QKHVdhr_0.pgp
Description: PGP signature

Reply to:

Follow-Ups:
- Re: Iptables Problem
  - From: Christian Hüning <christian.huening@web.de>

References:
- Iptables Problem
  - From: Christian Hüning <christian.huening@web.de>

Prev by Date: Re: Debian Netzwerkinstallation
Next by Date: Re: Iptables Problem
Previous by thread: Re: Iptables Problem
Next by thread: Re: Iptables Problem
Index(es):
- Date
- Thread