Re: [OT] Reihenfolge der iptables rules
Am Donnerstag, 1. Juni 2006 17:10 schrieb Chris C.:
> Am Donnerstag 01 Juni 2006 15:44 schrieb Juergen Christoffel:
> > On Thu, Jun 01, 2006 at 12:07:15PM +0200, Chris C. wrote:
> > > [...]
> > > da die Rule am Ende angefügt wird und somit garnicht erst gelesen wird.
> > > Alle Regeln entfernen oder irgendwie "dazwischenquetschen" ist ja auch
> > > nicht sehr elegant.
> >
> > Es gibt kein "dazwischenquetschen" aber es gibt ein Einfuegen an einer
> > bestimmten Position mittels "-I <int>" anstatt "-A". Was daran unelegant
> > sein sollte, entgeht mir. Wenn ich meine Regeln dynamisch anpasse, mache
> > ich genau das, falls ich fuer bestimmte Faelle nicht vorher schon eine
> > eigene Tabelle angelegt hatte, bei der ich dann wieder "nur" anhaengen
> > kann.
>
> Ja, ich hatte die Doku auf netfilter.org zwar gelesen, aber das mit dem -I
> irgendwie falsch interpretiert.
>
> > Mittels "iptables -L -n --line-numbers" kannst Du Dir auch die Zeilen der
> > Ausgabe numieren lassen.
> >
> > Um mit iptables umgehen zu lernen gibt es ein sehr gutes "Iptables
> > Tutorial"[1] von Oskar Andreasson und ein Script "Easy Firewall Generator
> > for IPTables "[2], dass danach Firewalls generiert.
>
> Hmmm... eigentlich blöde wegen einem einzigen Spezialfall so einen aufwand
> zu betreiben, aber OK... lernen verlangsamt ja angeblich den
> verdummungsprozess ;-)
>
> Dank euch allen.
Im Gegensatz zu pf, wenn ich das richtig verstanden habe, arbeitet iptables
die Regeln von oben nach unten ab und nimmt die erste Regel, die passt, alle
darunter werden für das Paket dann ignoriert.
Um eine Regel z.B. an 2. Stelle einzufügen, ist -I das richtige:
iptables -I INPUT 2 -p tcp --dport 22 -j ACCEPT
um z.B. ssh zusätzlich zu erlauben.
Mfg,
Thomas
Reply to: