Re: kleine verstaendisfrage zu iptables
Hallo,
"Zoli" <zsare@gmx.de>:
>-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
[...]
>-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
[...]
>-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
>Diese kombination funktioniert
>Aber wenn ich
>-A OUTPUT -p tcp -m tcp --dport 22 --sport 1024: -m state --state
>RELATED,ESTABLISHED -j ACCEPT
>mach und die letzte Zeile auskomentiere geht es nicht mehr.
Die erste Variante erlaubt alle ausgehenden Pakete zu existierenden
TCP-Verbindungen. Das schliesst auch Antwortpakete zu den in der ersten
Zeile erlaubten einkommenden SSH-Verbindungen ein.
Die zweite Variante schließt diese explizit aus.
Im Übrigen gibt es durchaus SSH-Clients, die einen Sourceport < 1024
verwenden, z.B. weil sie setuid root laufen. Generell ist die Angabe
eines Sourceports in einer TCP-Regel fast immer sinnfrei.
Gruß, Harald
--
Harald Weidner hweidner@gmx.net
Reply to: