Re: Frage zu iptables

To: debian-user-german@lists.debian.org
Subject: Re: Frage zu iptables
From: wlt@bluewin.ch (Walter Saner)
Date: Wed, 21 Apr 2004 08:31:05 +0200
Message-id: <[🔎] 20040421063105.GA4790@tek.pling.ch>
Mail-followup-to: debian-user-german@lists.debian.org
In-reply-to: <[🔎] 4085DBD1.9040802@ira.uka.de>
References: <[🔎] 4085DBD1.9040802@ira.uka.de>

Martin Röhricht schrieb:

> 	 -----		 -----		 -----
> 	|  A  |---------|  B  |---------|  C  |
> 	 -----		 -----		 -----
> 	 11.129	     11.120  15.120	 15.240
> 
> Auf Rechner B soll iptables laufen, welches alle eingehenden telnet 
> Verbindungen abweist, jedoch telnet Verbindungen von C zu A passieren 
> lässt. Alles andere soll erlaubt sein.

Der letzte Satz macht den Paketfilter im Ganzen sinnlos.

> Ich hätte das ganze so bewerkstelligt:
> 
> -A INPUT -p tcp --dport 23 -j DROP

Überflüssig. dpkg --purge telnetd. Ausserdem ist DROP unfreundlich.

> -A FORWARD -p tcp --dport 23 -s 192.168.15.240 -d 192.168.11.129

-A FORWARD -p tcp --dport 23 -d 192.168.11.129 -j ACCEPT

Nimm nur Filterkriterien, die relevant sind und deiner Kontrolle
unterliegen.

> Ist das so korrekt, oder sollte man es ganz anders angehen? Brauche ich 

Versuche nicht, durch einen Paketfilter einen Rechner sicher zu bekommen.
Installiere auf dem Zielhost statt des telnetd einen SSH-Daemon, z.B.
den lsh-server.

> auch noch eine Regel, die die Antworten von A nach C explizit 
> durchlässt, falls eine telnet Verbindung von C angefordert wird?

-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT


Ciao
Walter

Reply to:

Follow-Ups:
- Re: Frage zu iptables
  - From: Martin Röhricht <roehricht@ira.uka.de>

References:
- Frage zu iptables
  - From: Martin Röhricht <roehricht@ira.uka.de>

Prev by Date: OpenVPN
Next by Date: Re: IBM-Notebook
Previous by thread: Re: Frage zu iptables
Next by thread: Re: Frage zu iptables
Index(es):
- Date
- Thread