Re: Webcam, IPTABLES und PREROUTING

To: debian-user-german@lists.debian.org
Subject: Re: Webcam, IPTABLES und PREROUTING
From: Joachim Protze <jooschi@wh2.tu-dresden.de>
Date: Wed, 22 Mar 2006 02:06:05 +0100
Message-id: <[🔎] 4420A2FD.2010208@wh2.tu-dresden.de>
In-reply-to: <[🔎] 20060320165017.GA6181@webserv.wug-glas.de>
References: <[🔎] 604c02230603200759o33571559r@mail.gmail.com> <[🔎] 20060320165017.GA6181@webserv.wug-glas.de>

Andreas Kretschmer schrieb:
> am  20.03.2006, um 16:59:10 +0100 mailte Vladislav Vorobiev folgendes:
> 
>>iptables -A INPUT -i ppp0 -p udp --dport 8000 -j ACCEPT #Webcam
> 
> Warum Du willst DNAT, dann hat das nix in INPUT zu suchen.

INPUT ist nur für Anfragen an den lokalen Rechner zuständig.
für DNAT brauchst du FORWARD

>>iptables -t nat -A PREROUTING -i ppp0 -p udp --dport 8000 -j DNAT --to
>>192.168.0.99:8000
> 
> Warum UDP? Ich bezweifle dies, my guess: TCP

Die google-Treffer tendieren auch mehr Richtung tcp

>>iptables -A FORWARD -i ppp0 -p udp --dport 8080 -j ACCEPT #Webcam
> 
> Du machst DNAT auf UDP von 8000 und erlaubst in FORWARD 8080?

Solange keine FORWARD Kette/Policy mitDROP/REJECT gesetzt ist, egal.

>>Die Webcam funktioniert Local im Netzwerk über mms://192.168.0.99:8000
>>Von aussen aber nicht.
>>Was ist hier falsch?
> 
> 
> Eine ganze Menge. Sollte dies das gesammte Regelwerk sein, so erlaubst
> Du quasi alles. Naja, nicht ganz. Da fehlt eine Policy. Iptables kann

Kann man machen, muß man aber nicht. Wenn man nur die Dienste aktiviert,
die man haben will, und die richtig konfiguriert, dann kann man sich
drop-Regeln eigentlich sparen. Die Pakete werden doch eh abgelehnt, wenn
kein Prozess an dem Port lauscht?
Stateful filtern bei den input-/output-Ketten seh ich ja grade noch ein,
wenn die eigene Sicherheitspolitik das verlangt. Bei forward-Ketten kann
ich das aber nicht nachvollziehen: ohne die entsprechenden Regeln
reagiert der Kernel auch nicht anders. Von außen werden nur Verbindungen
weitergeleitet, die schon bekannt sind (established), der Rest wird
abgelehnt, da nicht zuordenbar (new). Der einzige Anwendungsfall von
drops beim forwarden ist imho, wenn man aus irgendwelchen Gründen
ausgehende Verbindungen filtern will.

> stateful filtern, nutze dies. Iptables kann das, was es wegwirft,
> loggen. Nutze dies zur Fehleranalyse.

Zum Debugen sehr zu empfehlen ist es, das zB auf tty6 ausgeben zu lassen
- spart ein tail -f und man müllt sich nicht die Platte zu mit Daten,
die man danach sowieso wieder löscht.

> Andreas

Grüße Joachim

Reply to:

Follow-Ups:
- Re: Webcam, IPTABLES und PREROUTING
  - From: Andreas Kretschmer <akretschmer@spamfence.net>

References:
- Webcam, IPTABLES und PREROUTING
  - From: "Vladislav Vorobiev" <mymir.org@googlemail.com>
- Re: Webcam, IPTABLES und PREROUTING
  - From: Andreas Kretschmer <akretschmer@spamfence.net>

Prev by Date: Re: Installation einer Fritz!Card PCI 2.0
Next by Date: Backup MySQL
Previous by thread: Re: Webcam, IPTABLES und PREROUTING
Next by thread: Re: Webcam, IPTABLES und PREROUTING
Index(es):
- Date
- Thread