Re: Frage zu iptables-Regel
Am Sun, 11 Jul 2004 21:24:31 +0200
Jörg Schütter <joerg@schuetter.org> schrieb:
> Hello Mario,
>
> On Sun, 11 Jul 2004 20:26:44 +0200
> mario.neudeck@ziczac-stoffe.de (Mario Neudeck) wrote:
>
> > Hallo,
> >
> > ich habe mir ein paar iptables-Skripte durchgesehen und will das
> > jetzt selbst umsetzen/verstehen.
> > Folgende Regel ist mir nicht klar:
> >
> > iptables -A INPUT -p TCP ! --syn -m state NEW -j DROP
> >
> > Der Rechner wird als Router genutzt.
> > Verstehe ich das richtig:
> > Alles was per TCP (HTTP, FTP, SSH) versucht reinzukommen
> > und "keine" neue Verbindung aufbaut, wird gedropt? Dabei ist es egal
> > ob über ppp0, eth0.
> > Welchen Sinn kann diese Regel haben? Sollte man nicht eigentlich
> > neue Packete, die über extern kommen, droppen?
>
> der Sinn dieser Regel ist folgender: Keiner kommt auf den Router,
> außer lokal mittels Tastatur.
>
> Mit der Regel
> iptables -A FORWARD -i eth0 ...
> können die Pakete aus dem LAN dann in's Internet und ein
> iptables -A FORWARD -i ppp0 -m state --state ESTABLISHED,RELATED -j
> ACCEPT erlaubt die Antworten auf diese Verbindungen.
[..]
Genau so ist es. Und wenn man es noch einfacher ausdrücken will müsste
man sagen, es ist nicht erlaubt eine neue Verbindung zu deinem Rechner
aufzubauen. Falls du allerdings schon eine NEUE Verbindung aufgebaut
hast, dann ist Paketen, die ESTABLISHED(zu einer schon aufgebauten
Verbindung gehören) oder RELATED(Pakete gehören nicht direkt zu
einer Verbindung, aber gibt Zusatzinformationen zu dieser z.B. icmp)
sind, erlaubt einen neuen Port zu nutzen und vielleicht eine eigene
Verbindung aufzubauen; meistens port > 1023.
cu soon
Sebastian Lorkowski
--
GPG - fingerprint Sebastian Lorkowski <SebLor@gmx.de>
54A2 2775 7D70 9173 AA1E 54BA 411A 2F84 5CF9 3F05
Reply to: