Re: Paketfilter

Thu, 28 Oct 2004 08:51:28 -0700 

Am Donnerstag, 28. Oktober 2004 13:47 schrieb Mariusz Rakowski:
> Hallo Listies,
>
> wir haben beschlossen unser lokales Netzwerk in der schule durch eine
> restriktive woodybasierte firewall zu schützen. Im probebetrieb haben
> sich jedoch Probleme gezeigt auf die ich trotz intensiver suche keine
> antwort weiss. Ich bin so langsam am verzweifeln.

IP-Forwarding ist aber eingeschaltet, ja?

(echo "1" > /proc/sys/net/ipv4/conf/<dev>/forwarding
 echo "1" > /proc/sys/net/ip4v/ip_forward )

> hier ein auszug aus dem script
>
> echo 1 > /proc/net/sys/ipv4/ip_forward
>
> iptables -F
> iptables -X
> iptables -t nat -F
> iptables -t nat -X
>
> iptables -P INPUT ACCEPT
> iptables -P OUTPUT ACCEPT

Wollt ihr diese Standard-Policies wirklich? Damit darf alles rein und 
alles raus, der Rechner selbst ist also wie ein offenes Scheunentor.

> iptables -P FORWARD DROP
>
> iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
> iptables -A FORWARD -p udp --dport 80 -j ACCEPT
> iptables -A FORWARD -p tcp --dport 53 -j ACCEPT
> iptables -A FORWARD -p udp --dport 53 -j ACCEPT

Damit werden alle Pakete _an_ Port 80 bzw. 53 weitergeleitet.

Eine HTTP-Session sieht aber (vereinfacht) so aus:

         Port x -------(Anfrage)--------------> Port 80
 Client                                                  Server
         Port x <------(Antwort)--------------- Port 80
(x > 1024)

Damit ist also Port 80 nur für die Anfrage der Zielport, für die Antwort 
vom Server ist der in der Anfrage verwendete Quellport der Zielport. Und 
damit wird die Antwort nicht durchgelassen.

Für andere Dienste gilt es meist analog.

Du solltest dich intensiv mit den Möglichkeiten von IP-Tables vertraut 
machen. Dafür ist auch ein Grundwissen über den Ablauf von TCP- und 
UDP-Verbindungen nützlich. Man kann hier sehr viel mehr als nur die Ports 
berücksichtigen - und das sollte man auch nutzen.

> iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

Das ist OK, die Rückrichtung wird automatisch gesteuert (vorausgesetzt, 
dass die Pakete überhaupt geroutet (forwarded) werden.

-- 
Gruß
  MaxX
Hinweis: PMs an diese Adresse werden automatisch vernichtet (Filter 
nach /dev/null).

Antwort per Email an