Re: Iptables Unverständniss ...
Heiko Schlittermann schrieb:
Marco Estrada Martinez <marco@marcomartinez.de> (Fr 18 Mai 2007 18:01:01 CEST):
Hi @ all,
also irgendwas mache ich falsch bzw. verstehe ich ne ...
Ich habe in meinem firewallscript eine Regel drin stehen um ssh
verbindungen zuzulassen.
$IPTABLES -A INPUT -i $LAN_INTERFACE -m state --state
NEW,ESTABLISHED,RELATED -s $LAN_IP_RANGE -p tcp --dport 22 -j ACCEPT
Dabei haben die Vars folgende Werte
IPTABLES=`which iptables`
LAN_INTERFACE=eth2 # Mein LAN-Interface
LAN_IP_RANGE=192.168.23.0/24 # mein WLAN
Wichtig wäre zu wissen, *wo* diese Regel steht. Am Anfang, am Ende?
Am Anfang. Also nach den "alles dropen"
..
Trotzdem bekomme ich im syslog folgende Meldungen wenn ich von dem
Rechner aus eine ssh-Verbindung zu einem anderen aufbaue
...
May 18 17:58:38 localhost kernel: INPUT INVALID IN=eth2 OUT=
MAC=00:18:de:99:4e:d9:00:14:78:74:db:f8:08:00 SRC=192.168.23.1
DST=192.168.23.2 LEN=180 TOS=0x10 PREC=0x00 TTL=64 ID=5503 DF PROTO=TCP
SPT=22 DPT=51408 WINDOW=388 RES=0x00 ACK PSH URGP=0
Hierfür bräuchtest Du eine andere Regel, Deine obige ist nur für SSH
*zu* Deinem REchner.
Also muss ich hier noch eine OUTPUT-Regel erstellen?
...
und wenn ein Rechner zu diesem Rechner eine SSH-Verbindung aufbaut
...
May 18 17:59:51 localhost kernel: INPUT INVALID IN=eth2 OUT=
MAC=00:18:de:99:4e:d9:00:14:78:74:db:f8:08:00 SRC=192.168.23.1
DST=192.168.23.2 LEN=52 TOS=0x10 PREC=0x00 TTL=64 ID=28474 DF PROTO=TCP
SPT=59767 DPT=22 WINDOW=389 RES=0x00 ACK URGP=0
Die Verbindung könnte eigentlich gehen, wenn die Regel von oben an der
richtigen Stelle steht!
Naja ich gehe davon aus das ich richtig liege aber die Reihnfolge ist ja
erst alles speeren (dropen) und dann einzelne Sachen zulassen
es wird erst alles gedropt.
...
# Default-Policies setzen
#echo -n "Default-Polices setzen ..."
$IPTABLES -P INPUT DROP
Result $?
$IPTABLES -P OUTPUT DROP
Result $?
$IPTABLES -P FORWARD DROP
Result $?
...
und dann wird die ssh-regel gesetzt.
THX Marco
Reply to: