Re: kleine verstaendisfrage zu iptables

To: debian-user-german@lists.debian.org
Subject: Re: kleine verstaendisfrage zu iptables
From: Harald Weidner <hweidner-lists@gmx.net>
Date: Fri, 23 Apr 2004 23:46:28 +0000 (UTC)
Message-id: <[🔎] c6c9sk$rl0$1@shadowland.metal.loc>
In-reply-to: <9798a0faa74e@weidner.ch>

Hallo,

"Zoli" <zsare@gmx.de>:

>-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
[...]
>-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
[...]
>-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

>Diese kombination funktioniert
>Aber wenn ich
>-A OUTPUT -p tcp -m tcp --dport 22 --sport 1024: -m state --state
>RELATED,ESTABLISHED -j ACCEPT
>mach und die letzte Zeile auskomentiere geht es nicht mehr.

Die erste Variante erlaubt alle ausgehenden Pakete zu existierenden
TCP-Verbindungen. Das schliesst auch Antwortpakete zu den in der ersten
Zeile erlaubten einkommenden SSH-Verbindungen ein.

Die zweite Variante schließt diese explizit aus.

Im Übrigen gibt es durchaus SSH-Clients, die einen Sourceport < 1024
verwenden, z.B. weil sie setuid root laufen. Generell ist die Angabe
eines Sourceports in einer TCP-Regel fast immer sinnfrei.

Gruß, Harald

-- 
Harald Weidner                           hweidner@gmx.net

Reply to:

Follow-Ups:
- Re: kleine verstaendisfrage zu iptables
  - From: Andreas Pakulat <apaku@gmx.de>

Prev by Date: USB Stick als Boot-Disk Ersatz
Next by Date: Re: USB Stick als Boot-Disk Ersatz
Previous by thread: Re: kleine verstaendisfrage zu iptables
Next by thread: Re: kleine verstaendisfrage zu iptables
Index(es):
- Date
- Thread