[ ich bin in der Liste eingetragen, Du mußt mir die Mail also nicht noch
mal extra schicken. ]
Marco Estrada Martinez <marco@marcomartinez.de> (Fr 18 Mai 2007 18:42:46 CEST):
> Heiko Schlittermann schrieb:
> >Marco Estrada Martinez <marco@marcomartinez.de> (Fr 18 Mai 2007 18:01:01
> >CEST):
> >
> >>Hi @ all,
> >>
> >>also irgendwas mache ich falsch bzw. verstehe ich ne ...
> >>
> >>Ich habe in meinem firewallscript eine Regel drin stehen um ssh
> >>verbindungen zuzulassen.
> >>
> >>
> >>$IPTABLES -A INPUT -i $LAN_INTERFACE -m state --state
> >>NEW,ESTABLISHED,RELATED -s $LAN_IP_RANGE -p tcp --dport 22 -j ACCEPT
> >>
> >>Dabei haben die Vars folgende Werte
> >>IPTABLES=`which iptables`
> >>LAN_INTERFACE=eth2 # Mein LAN-Interface
> >>LAN_IP_RANGE=192.168.23.0/24 # mein WLAN
> >>
> >
> >Wichtig wäre zu wissen, *wo* diese Regel steht. Am Anfang, am Ende?
> >
>
> Am Anfang. Also nach den "alles dropen"
Wenn Du das meinst, was Du mit der Policy machst, dann ist das nicht "am
Anfang alles droppen". Die Policy gilt nur, wenn keine andere Regel
gilt. Die Regeln werden in der Reihe nach abgearbeitet, bis eine
"trifft", dann ist Schluß. (Mit Ausnahme einige "nicht finaler" Regeln,
z.B. "-j LOG".)
> >>Trotzdem bekomme ich im syslog folgende Meldungen wenn ich von dem
> >>Rechner aus eine ssh-Verbindung zu einem anderen aufbaue
> >>...
> >>May 18 17:58:38 localhost kernel: INPUT INVALID IN=eth2 OUT=
Mir ist noch nicht wirklich klar, woher der "INPUT INVALID" string
kommt. Hast Du eine LOG-Regel mit diesem String? Leider hast Du ja noch
nicht alle Deine Regeln gepostet.
Vielleicht kannst Du mal ein
iptables -L -n -v
machen und uns zeigen.
> >>MAC=00:18:de:99:4e:d9:00:14:78:74:db:f8:08:00 SRC=192.168.23.1
> >>DST=192.168.23.2 LEN=180 TOS=0x10 PREC=0x00 TTL=64 ID=5503 DF
> >>PROTO=TCP SPT=22 DPT=51408 WINDOW=388 RES=0x00 ACK PSH URGP=0
> >>
> >
> >Hierfür bräuchtest Du eine andere Regel, Deine obige ist nur für SSH
> >*zu* Deinem REchner.
> >
>
> Also muss ich hier noch eine OUTPUT-Regel erstellen?
Nein, mit OUTPUT hat das nichts zu tun, die gilt nur für Pakete, die auf
Deinem System erzeugt wurden und nach außen gesendet werden.
Wenn Du natürlich im OUTPUT auch ein DROP hast, dann sollte man mal
darüber nachdenken.
Meistens ist besonders nützlich OUTPUT-Regeln zu haben. Es hängt aber
natürlich von den Anforderungen an die Sicherheit ab.
--
Heiko
Attachment:
signature.asc
Description: Digital signature