Re: Paketfilter
Am Donnerstag, 28. Oktober 2004 13:47 schrieb Mariusz Rakowski:
> Hallo Listies,
>
> wir haben beschlossen unser lokales Netzwerk in der schule durch eine
> restriktive woodybasierte firewall zu schützen. Im probebetrieb haben
> sich jedoch Probleme gezeigt auf die ich trotz intensiver suche keine
> antwort weiss. Ich bin so langsam am verzweifeln.
IP-Forwarding ist aber eingeschaltet, ja?
(echo "1" > /proc/sys/net/ipv4/conf/<dev>/forwarding
echo "1" > /proc/sys/net/ip4v/ip_forward )
> hier ein auszug aus dem script
>
> echo 1 > /proc/net/sys/ipv4/ip_forward
>
> iptables -F
> iptables -X
> iptables -t nat -F
> iptables -t nat -X
>
> iptables -P INPUT ACCEPT
> iptables -P OUTPUT ACCEPT
Wollt ihr diese Standard-Policies wirklich? Damit darf alles rein und
alles raus, der Rechner selbst ist also wie ein offenes Scheunentor.
> iptables -P FORWARD DROP
>
> iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
> iptables -A FORWARD -p udp --dport 80 -j ACCEPT
> iptables -A FORWARD -p tcp --dport 53 -j ACCEPT
> iptables -A FORWARD -p udp --dport 53 -j ACCEPT
Damit werden alle Pakete _an_ Port 80 bzw. 53 weitergeleitet.
Eine HTTP-Session sieht aber (vereinfacht) so aus:
Port x -------(Anfrage)--------------> Port 80
Client Server
Port x <------(Antwort)--------------- Port 80
(x > 1024)
Damit ist also Port 80 nur für die Anfrage der Zielport, für die Antwort
vom Server ist der in der Anfrage verwendete Quellport der Zielport. Und
damit wird die Antwort nicht durchgelassen.
Für andere Dienste gilt es meist analog.
Du solltest dich intensiv mit den Möglichkeiten von IP-Tables vertraut
machen. Dafür ist auch ein Grundwissen über den Ablauf von TCP- und
UDP-Verbindungen nützlich. Man kann hier sehr viel mehr als nur die Ports
berücksichtigen - und das sollte man auch nutzen.
> iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
Das ist OK, die Rückrichtung wird automatisch gesteuert (vorausgesetzt,
dass die Pakete überhaupt geroutet (forwarded) werden.
--
Gruß
MaxX
Hinweis: PMs an diese Adresse werden automatisch vernichtet (Filter
nach /dev/null).
Reply to:
- References:
- Paketfilter
- From: Mariusz Rakowski <marius.rakowski@epost.de>