[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: iptables



Hallo Martin,

Martin Röhricht, 29.11.2004 (d.m.y):

> Mmh. Also mit seiner aktivierten SuSE Firewall kommt folgendes, wenn er
> versucht zu drucken (was nicht funktioniert):
> 
> Nov 28 20:26:37 bach kernel: SFW2-INext-DROP-DEFLT-INV IN=eth0 OUT= 
> MAC=00:08:02:67:54:29:00:c0:02:fc:6b:5d:08:00 SRC=192.168.0.11 
> DST=192.168.0.2 LEN=44 TOS=0x00 PREC=0x00 TTL=30 ID=63126 PROTO=TCP 
> SPT=80 DPT=1160 WINDOW=1514 RES=0x00 ACK PSH SYNURGP=0 OPT (020405EA)

Das heisst aber, dass der Printserver (SRC) eine Verbindung von seinem
Port 80 (SPT) an Port 1160 (DPT) von bach "aufbauen" will.
Ich vermute aber, dass diese Verbindung nur zu einer anderen gehoert -
aufgrund des "ACK" in der letzten Zeile...

Wenn Ihr die Paketfilterregeln etwa (sinngemaess) um
iptables -A INPUT -p tcp -s 192.168.0.11 -d 192.18.0.2 --dpt 1024.. ! -SYN \
-j ACCEPT
oder 
iptables -A INPUT -p tcp -s 192.168.0.11 -d 12.168.0.2 -m state \
--state ESTABLISHED,RELATED -j ACCEPT
erweitert, sollten die o.a. Pakete _IMO_ nicht mehr geblockt werden.

Allerdings moechte ich mich nicht unbedingt als voellig sattelfest in
Sachen iptables bezeichnen...

[..] 
> Da ist irgendwie immer nur von Port 80 die Rede. Rechner liegt an
> 192.168.0.2 und Printserver auf 192.168.0.11

Allmaehlich solltest Du mal erwaehnen, wie (d.h. ueber welches
Protokoll) Ihr den Drucker ansprecht. ;-)

Darueberhinaus wuerde ich mich an Eurer Stelle fragen, ob Ihr
ueberhaupt einen Paketfilter braucht. Oftmals kommt man auch ganz gut
ohne aus.
Und bei der Absicherung eines Systems sollte man nicht mit der
Einrichtung eines Paketfilters beginnen...

Gruss,
Christian Schmidt
-- 
Charme ist Charakter, der sich von seiner schönsten Seite zeigt.
		-- Lothar Schmidt

Attachment: signature.asc
Description: Digital signature


Reply to: