Am Donnerstag, 23. September 2004 08:04 schrieb Dominik Klein: > Guten Morgen, > > ich möchte ein selbstgebautes iptables Skript in /etc/network/if-up.d > legen, damit die Filterregeln direkt als erstes nach Aufbau der > Netzwerkverbindung eingerichtet werden.
Das würde ich auf keinen Fall machen. Warum sollen denn die Filterregeln erst nach dem Aufbau der Netzwerk-Verbindung eingerichtet werden? Zugegeben, die Möglichkeiten, die ein Angreifer hat, um deinen Computer zwischen Herstellen der Verbindung und Installieren des Filters zu hacken, sind sehr gering. Aber warum richtest du die Filterregeln nicht vor dem Aufbau der Verbindung ein? Ich dachte eigentlich immer, dass du iptables-Regeln einrichten kannst, wann du willst. Es ist m.W. völlig egal, ob gewisse Netwerk-Interfaces initialisiert sind oder nicht. Ich z.B. setzte gewisse iptables-Regeln in einem init-Skript vor dem Initialisieren jeglicher Netzwerk-Schnittstellen. In diesen Regeln gibt es Bezüge zu Interfaces, die zum Zeitpunkt der Installation der Regeln also noch gar nicht existieren. Das ist für iptables überhaupt kein Problem. Wenn meinetwegen eine Regel besagt, dass alle über ppp0 eingehenden Pakete mit Status NEW weggeworfen werden sollen, und es gibt keine Schnittstelle ppp0, dann gibt es eben keine über ppp0 eingehenden Pakete, welche weggeschmissen werden könnten. > Wenn ich das Skript im normalen Betrieb ausführe, läuft das wunderbar, > beim booten allerdings meckert iptables, die z.B. in "-d" angegebenen > IP-Adressen seien "bad parameters". Alle Regeln, die ohne Ziel- oder > Quelleinschränkung auskommen, werden eingerichtet. Wie das mit der Angabe von IP-Adressen ist, weiß ich nicht genau. Vielleicht gibt's da Einschränkungen. Bei der Angabe von Interface-Namen bist du jedenfalls, was den Zeitpunkt der Regeleinrichtung betrifft, völlig frei. > Daher meine Frage: Muss das Skript an eine andere Stelle, muss > irgendetwas anderes noch vorher gestartet werden? > > So long, > Dominik Viele Grüße Wolfgang