[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: iptables-Regeln für mehrere devices

Dirk Salva:
> On Wed, Aug 12, 2009 at 09:00:12PM +0200, Alexander Reichle-Schmehl wrote:
>> Dirk Salva schrieb:
>>
>>> Gibt es wirklich keine Umschreibung, mit der ich "! (eth0|ra0)" erreichen kann???
>>>
>> Hast du Jochens Idee mal ausprobiert?  Oder nimm einfach ferm, mit dem
>> du sowas machen kannst.
> 
> Bisher noch nicht, weil die Zeit fehlte:-( Wie kann ich überprüfen, ob
> Jochens Idee funktioniert?

Äh, ausser ausprobieren? -Google anschmeissen. Ich hab das mal für Dich
gemacht:

http://www.google.de/search?q=iptables+multiple+interfaces

Erster Treffer:
http://www.dslreports.com/forum/r20407875-iptables-multiple-interfaces

| Also by putting two -i attributes you get the error letting you know you
| can't use multiple occurrences.

Also nochmal von vorn. Du willst so etwas wie

$IPTABLES -A INPUT -i ! (eth1,ra0) -p icmp --icmp-type echo-request -j DROP

Mit anderen Worten: Alles, was an ICMP nicht per eth1 oder ra0
reinkommt, soll gedroppt werden (ich würde btw REJECT vorziehen, aber
egal). Ich nehme mal an, ICMP von diesen Devices soll dann erlaubt sein.

Warum also nicht folgendes:

$IPTABLES -A INPUT -i eth1 -p icmp --icmp-type echo-request -j ACCEPT
$IPTABLES -A INPUT -i ra0 -p icmp --icmp-type echo-request -j ACCEPT
$IPTABLES -A INPUT -p icmp --icmp-type echo-request -j DROP

Wenn Du für eth1 und ra0 kein ACCEPT willst, springst Du halt zu einer
eigenen chain.

Notfalls kann man für sowas De Morgan hervorkramen (+=oder, *=und):

!(a+b) == !a * !b

http://de.wikipedia.org/wiki/De_Morgansche_Gesetze

J.
-- 
My clothes aren't just fashion. They're a lifestyle.
[Agree]   [Disagree]
                 <http://www.slowlydownward.com/NODATA/data_enter2.html>

Attachment: signature.asc
Description: Digital signature

Reply to: