Re: Fragen zu if-up.d und iptables Skript

To: "Debian-Nutzer" <debian-user-german@lists.debian.org>
Subject: Re: Fragen zu if-up.d und iptables Skript
From: Wolfgang Jeltsch <wolfgang@jeltsch.net>
Date: Thu, 23 Sep 2004 11:38:34 +0200
Message-id: <[🔎] 200409231138.34922.wolfgang@jeltsch.net>
In-reply-to: <[🔎] 41526788.8060809@FernUni-Hagen.de>
References: <[🔎] 41526788.8060809@FernUni-Hagen.de>

Am Donnerstag, 23. September 2004 08:04 schrieb Dominik Klein:
> Guten Morgen,
>
> ich möchte ein selbstgebautes iptables Skript in /etc/network/if-up.d
> legen, damit die Filterregeln direkt als erstes nach Aufbau der
> Netzwerkverbindung eingerichtet werden.

Das würde ich auf keinen Fall machen. Warum sollen denn die Filterregeln erst 
nach dem Aufbau der Netzwerk-Verbindung eingerichtet werden? Zugegeben, die 
Möglichkeiten, die ein Angreifer hat, um deinen Computer zwischen Herstellen 
der Verbindung und Installieren des Filters zu hacken, sind sehr gering. Aber 
warum richtest du die Filterregeln nicht vor dem Aufbau der Verbindung ein?

Ich dachte eigentlich immer, dass du iptables-Regeln einrichten kannst, wann 
du willst. Es ist m.W. völlig egal, ob gewisse Netwerk-Interfaces 
initialisiert sind oder nicht. Ich z.B. setzte gewisse iptables-Regeln in 
einem init-Skript vor dem Initialisieren jeglicher Netzwerk-Schnittstellen. 
In diesen Regeln gibt es Bezüge zu Interfaces, die zum Zeitpunkt der 
Installation der Regeln also noch gar nicht existieren. Das ist für iptables 
überhaupt kein Problem. Wenn meinetwegen eine Regel besagt, dass alle über 
ppp0 eingehenden Pakete mit Status NEW weggeworfen werden sollen, und es gibt 
keine Schnittstelle ppp0, dann gibt es eben keine über ppp0 eingehenden 
Pakete, welche weggeschmissen werden könnten.

> Wenn ich das Skript im normalen Betrieb ausführe, läuft das wunderbar,
> beim booten allerdings meckert iptables, die z.B. in "-d" angegebenen
> IP-Adressen seien "bad parameters". Alle Regeln, die ohne Ziel- oder
> Quelleinschränkung auskommen, werden eingerichtet.

Wie das mit der Angabe von IP-Adressen ist, weiß ich nicht genau. Vielleicht 
gibt's da Einschränkungen. Bei der Angabe von Interface-Namen bist du 
jedenfalls, was den Zeitpunkt der Regeleinrichtung betrifft, völlig frei.

> Daher meine Frage: Muss das Skript an eine andere Stelle, muss
> irgendetwas anderes noch vorher gestartet werden?
>
> So long,
> Dominik

Viele Grüße
Wolfgang

Reply to:

References:
- Fragen zu if-up.d und iptables Skript
  - From: Dominik Klein <Dominik.Klein@FernUni-Hagen.de>

Prev by Date: Re: OpenAFS 1.3.70, Debian Sarge & Kernel 2.6.8?
Next by Date: Re: kein Sound nach Plattenmigration
Previous by thread: Re: Fragen zu if-up.d und iptables Skript [solved]
Next by thread: xserver-xfree86-dbg geht, xserver-xfree86 geht nicht
Index(es):
- Date
- Thread