Hi, ich baue gerade eine kleine Firewall für dem Übergang zwischen Wlan und dem restlichen Netzwerk, bisher habe ich meine Firewalls immer unter OBSD mit PF oder PIXen erstellt, geht aber diesesmal aufgrund einiger Besonderheiten nicht...
Ich stoße bei dem erstellen der rules auf ein Problem: Wenn ich $IPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT $IPT -A INPUT -m tcp -p tcp --dport ssh -j ACCEPT $IPT -A INPUT -p tcp -j REJECT --reject-with tcp-reset $IPT -A INPUT -p udp -j REJECT --reject-with icmp-admin-prohibited $IPT -A INPUT -s 192.168.17.0/255.255.255.0 -p icmp -j ACCEPT $IPT -A INPUT -s ! 192.168.17.0/255.255.255.0 -p icmp --icmp-type echo-request -j ACCEPT $IPT -A INPUT -s ! 192.168.17.0/255.255.255.0 -p icmp -j REJECT --reject-with icmp-admin-prohibited $IPT -A INPUT -d 127.0.0.1 -j ACCEPT wird die ja doch sehr grobe letzte Regel einfach ignoriert (vermutlich wegen den Rejects darüber), setze ich -A INPUT -d localhost ganz nach oben, läuft alles. Für eben diesen Fall gibts bei pf "pass in quick" (PF geht nach meinem verständis erst alle Regeln durch und nimmt nicht die erste die halbwegs passt...). Meine Frage: Ich habe eine vergleichbare Funktion in der doku zu iptables nicht gefunden, gibt's sowas nicht? Und wie soll ich dann z.B. zusätzliche Ports öffnen (z.B. einfach für einen DNS-Server der noch auf den Server soll)? ein -A INPUT -p udp --dport 53 -j ACCEPT wird ja nicht funktionieren, da die Rule am Ende angefügt wird und somit garnicht erst gelesen wird. Alle Regeln entfernen oder irgendwie "dazwischenquetschen" ist ja auch nicht sehr elegant. Greetings Chris