Re: iptables
Dein reply to: ist gesetzt.
Also sprach Jan Dinger <jan.dinger@arcor.de> (Fri, 21 Jul 2006 14:53:47
+0200):
> Hi, ich habe jetzt meine iptables eingerichtet aber nix geht :) komme
> via ssh nicht mehr drauf und http (port 80) geht auch net mehr :( wo ist
> da mein fehler?
>
> # iptables --list
iptables -L -v ist besser geeignet.
> Chain INPUT (policy DROP)
> target prot opt source destination
> ACCEPT tcp -- anywhere foo.tdl.de tcp dpt:ssh state NEW
> ACCEPT tcp -- anywhere foo.tdl.de tcp dpt:www state NEW
ESTABLISHED,RELATED ebenfalls ACCEPT. foo.tld.de ist aber doch dieser
Rechner? Wenn nicht, gehoert hier wohl eine REDIRECT oder FORWARD rule
gelegt.
> Chain FORWARD (policy ACCEPT)
> target prot opt source destination
> ACCEPT tcp -- anywhere anywhere tcp
> flags:FIN,SYN,RST,ACK/SYN limit: avg 1/sec burst 5
> ACCEPT tcp -- anywhere anywhere tcp
> flags:FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5
> ACCEPT icmp -- anywhere anywhere icmp
> echo-request limit: avg 1/sec burst 5
> LOG all -- anywhere anywhere limit: avg
> 3/hour burst 5 LOG level warning
Der Zweck dieser rules entzieht sich mir.
> Chain OUTPUT (policy ACCEPT)
> target prot opt source destination
>
>
> iptables -A INPUT -p tcp --dport 80 -d xxx.xxx.xxx.xxx -m state --state
> NEW -j ACCEPT
"NEW" ist eine Verbindung, wenn sie neu ist. Eine vom Tracking als
"ESTABLISHED" oder "RELATED" angesehene Verbindung _nicht_ mehr.
Gute Docs sind auf www.netfilter.org zu finden. Ich empfehle dir
dringend diese zu lesen (und zu verstehen) -- Eine (funktionierende)
Firewall erwartet sowas. ;-)
> mfg
>
> Jan
sl ritch
Reply to: