Re: iptables-Regeln für mehrere devices
- To: debian-user-german@lists.debian.org
- Subject: Re: iptables-Regeln für mehrere devices
- From: Dirk Salva <dsalva@gmx.de>
- Date: Wed, 12 Aug 2009 19:37:45 +0200
- Message-id: <20090812173745.GB11207@dserver.dnetz>
- Mail-followup-to: debian-user-german@lists.debian.org
- In-reply-to: <1250096229.3037.3.camel@localhost.localdomain>
- References: <20090810192903.GA18013@dserver.dnetz> <1250096229.3037.3.camel@localhost.localdomain>
On Wed, Aug 12, 2009 at 06:57:09PM +0200, Sascha Reißner wrote:
> Am Montag, den 10.08.2009, 21:29 +0200 schrieb Dirk Salva:
> > so weit mir bekannt ist, werden iptables-Regeln ja nacheinander
> > abgearbeitet. Wie bekomme ich es denn da hin, daß _beispielsweise_ eine
> > Regel wie diese
> > $IPTABLES -A INPUT -i ! eth1 -p icmp --icmp-type echo-request -j DROP
> > auch gleichzeitig für z.B. ra0 gilt? Also nicht nur ! eth1, sondern
> > auch ! ra0. Kann man dafür ! (eth1,ra0) schreiben oder wie geht das?
> > Nacheinander aufreihen geht ja nicht, da würden sich ja u.U. Regeln
> > gegenseitig behindern (irgendein Beispiel hatte ich da mal im Kopf,
> > fällt mir aber grad nicht ein).
> $IPTABLES -A INPUT -i eth1 -p icmp --icmp-type echo-request -j ACCEPT
> $IPTABLES -A INPUT -i ra0 -p icmp --icmp-type echo-request -j ACCEPT
> $IPTABLES -A INPUT -p icmp --icmp-type echo-request -j DROP
> Sollte die policy von der Tabelle INPUT auf DROP gesetzt sein, kannst du
> dir die letzte Regel ersparen.
Das wäre dann sozusagen die umgekehrte Logik, aber genau das will ich
ja nicht, weil ich dann für meine Verhältnisse recht viel ändern
müsste, bei jeder Hardware-Änderung die iptables-Regeln beachten müsste
_und_ das ganze auch noch für mehrere Rechner pflegen müsste.
Eigentlich viel zu viel Aufwand für sowas. Gibt es wirklich keine
Umschreibung, mit der ich "! (eth0|ra0)" erreichen kann???
ciao, Dirk
Reply to: