Re: Webcam, IPTABLES und PREROUTING
am 22.03.2006, um 2:06:05 +0100 mailte Joachim Protze folgendes:
> Andreas Kretschmer schrieb:
> > am 20.03.2006, um 16:59:10 +0100 mailte Vladislav Vorobiev folgendes:
> >
> >>iptables -A INPUT -i ppp0 -p udp --dport 8000 -j ACCEPT #Webcam
> >
> > Warum Du willst DNAT, dann hat das nix in INPUT zu suchen.
>
> INPUT ist nur für Anfragen an den lokalen Rechner zuständig.
> für DNAT brauchst du FORWARD
Korrekt.
> > Eine ganze Menge. Sollte dies das gesammte Regelwerk sein, so erlaubst
> > Du quasi alles. Naja, nicht ganz. Da fehlt eine Policy. Iptables kann
>
> Kann man machen, muß man aber nicht. Wenn man nur die Dienste aktiviert,
> die man haben will, und die richtig konfiguriert, dann kann man sich
> drop-Regeln eigentlich sparen. Die Pakete werden doch eh abgelehnt, wenn
> kein Prozess an dem Port lauscht?
Korrekt. Man kann sich iptables auch komplett sparen.
> Stateful filtern bei den input-/output-Ketten seh ich ja grade noch ein,
> wenn die eigene Sicherheitspolitik das verlangt. Bei forward-Ketten kann
> ich das aber nicht nachvollziehen: ohne die entsprechenden Regeln
Doch, schon. Ich habe hier z.B. VPN zwischen Firmenniederlassungen. Da
will ich z.B. Mail erlauben, und da ist ein stateful filtern in FORWARD
angenehm.
> reagiert der Kernel auch nicht anders. Von außen werden nur Verbindungen
> weitergeleitet, die schon bekannt sind (established), der Rest wird
> abgelehnt, da nicht zuordenbar (new). Der einzige Anwendungsfall von
Dem Kernel der forwardenden Maschine ist egal, was das für Pakete sind.
Um 'established' zu erkennen, brauche ich halt genau dazu stateful.
Andreas
--
Andreas Kretschmer (Kontakt: siehe Header)
Heynitz: 035242/47215, D1: 0160/7141639
GnuPG-ID 0x3FFF606C http://wwwkeys.de.pgp.net
=== Schollglas Unternehmensgruppe ===
Reply to: