[OT] Reihenfolge der iptables rules
Hi,
ich baue gerade eine kleine Firewall für dem Übergang zwischen Wlan und dem
restlichen Netzwerk, bisher habe ich meine Firewalls immer unter OBSD mit PF
oder PIXen erstellt, geht aber diesesmal aufgrund einiger Besonderheiten
nicht...
Ich stoße bei dem erstellen der rules auf ein Problem:
Wenn ich
$IPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPT -A INPUT -m tcp -p tcp --dport ssh -j ACCEPT
$IPT -A INPUT -p tcp -j REJECT --reject-with tcp-reset
$IPT -A INPUT -p udp -j REJECT --reject-with icmp-admin-prohibited
$IPT -A INPUT -s 192.168.17.0/255.255.255.0 -p icmp -j ACCEPT
$IPT -A INPUT -s ! 192.168.17.0/255.255.255.0 -p icmp --icmp-type
echo-request -j ACCEPT
$IPT -A INPUT -s ! 192.168.17.0/255.255.255.0 -p icmp -j REJECT --reject-with
icmp-admin-prohibited
$IPT -A INPUT -d 127.0.0.1 -j ACCEPT
wird die ja doch sehr grobe letzte Regel einfach ignoriert (vermutlich wegen
den Rejects darüber), setze ich -A INPUT -d localhost ganz nach oben, läuft
alles. Für eben diesen Fall gibts bei pf "pass in quick" (PF geht nach meinem
verständis erst alle Regeln durch und nimmt nicht die erste die halbwegs
passt...).
Meine Frage: Ich habe eine vergleichbare Funktion in der doku zu iptables
nicht gefunden, gibt's sowas nicht? Und wie soll ich dann z.B. zusätzliche
Ports öffnen (z.B. einfach für einen DNS-Server der noch auf den Server
soll)? ein -A INPUT -p udp --dport 53 -j ACCEPT wird ja nicht funktionieren,
da die Rule am Ende angefügt wird und somit garnicht erst gelesen wird. Alle
Regeln entfernen oder irgendwie "dazwischenquetschen" ist ja auch nicht sehr
elegant.
Greetings
Chris
Reply to: