Re: Webcam, IPTABLES und PREROUTING
am 22.03.2006, um 2:06:05 +0100 mailte Joachim Protze folgendes: > Andreas Kretschmer schrieb: > > am 20.03.2006, um 16:59:10 +0100 mailte Vladislav Vorobiev folgendes: > > > >>iptables -A INPUT -i ppp0 -p udp --dport 8000 -j ACCEPT #Webcam > > > > Warum Du willst DNAT, dann hat das nix in INPUT zu suchen. > > INPUT ist nur für Anfragen an den lokalen Rechner zuständig. > für DNAT brauchst du FORWARD Korrekt. > > Eine ganze Menge. Sollte dies das gesammte Regelwerk sein, so erlaubst > > Du quasi alles. Naja, nicht ganz. Da fehlt eine Policy. Iptables kann > > Kann man machen, muß man aber nicht. Wenn man nur die Dienste aktiviert, > die man haben will, und die richtig konfiguriert, dann kann man sich > drop-Regeln eigentlich sparen. Die Pakete werden doch eh abgelehnt, wenn > kein Prozess an dem Port lauscht? Korrekt. Man kann sich iptables auch komplett sparen. > Stateful filtern bei den input-/output-Ketten seh ich ja grade noch ein, > wenn die eigene Sicherheitspolitik das verlangt. Bei forward-Ketten kann > ich das aber nicht nachvollziehen: ohne die entsprechenden Regeln Doch, schon. Ich habe hier z.B. VPN zwischen Firmenniederlassungen. Da will ich z.B. Mail erlauben, und da ist ein stateful filtern in FORWARD angenehm. > reagiert der Kernel auch nicht anders. Von außen werden nur Verbindungen > weitergeleitet, die schon bekannt sind (established), der Rest wird > abgelehnt, da nicht zuordenbar (new). Der einzige Anwendungsfall von Dem Kernel der forwardenden Maschine ist egal, was das für Pakete sind. Um 'established' zu erkennen, brauche ich halt genau dazu stateful. Andreas -- Andreas Kretschmer(Kontakt: siehe Header) Heynitz: 035242/47215, D1: 0160/7141639 GnuPG-ID 0x3FFF606C http://wwwkeys.de.pgp.net ===Schollglas Unternehmensgruppe=== -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Webcam, IPTABLES und PREROUTING
Andreas Kretschmer schrieb: > am 20.03.2006, um 16:59:10 +0100 mailte Vladislav Vorobiev folgendes: > >>iptables -A INPUT -i ppp0 -p udp --dport 8000 -j ACCEPT #Webcam > > Warum Du willst DNAT, dann hat das nix in INPUT zu suchen. INPUT ist nur für Anfragen an den lokalen Rechner zuständig. für DNAT brauchst du FORWARD >>iptables -t nat -A PREROUTING -i ppp0 -p udp --dport 8000 -j DNAT --to >>192.168.0.99:8000 > > Warum UDP? Ich bezweifle dies, my guess: TCP Die google-Treffer tendieren auch mehr Richtung tcp >>iptables -A FORWARD -i ppp0 -p udp --dport 8080 -j ACCEPT #Webcam > > Du machst DNAT auf UDP von 8000 und erlaubst in FORWARD 8080? Solange keine FORWARD Kette/Policy mitDROP/REJECT gesetzt ist, egal. >>Die Webcam funktioniert Local im Netzwerk über mms://192.168.0.99:8000 >>Von aussen aber nicht. >>Was ist hier falsch? > > > Eine ganze Menge. Sollte dies das gesammte Regelwerk sein, so erlaubst > Du quasi alles. Naja, nicht ganz. Da fehlt eine Policy. Iptables kann Kann man machen, muß man aber nicht. Wenn man nur die Dienste aktiviert, die man haben will, und die richtig konfiguriert, dann kann man sich drop-Regeln eigentlich sparen. Die Pakete werden doch eh abgelehnt, wenn kein Prozess an dem Port lauscht? Stateful filtern bei den input-/output-Ketten seh ich ja grade noch ein, wenn die eigene Sicherheitspolitik das verlangt. Bei forward-Ketten kann ich das aber nicht nachvollziehen: ohne die entsprechenden Regeln reagiert der Kernel auch nicht anders. Von außen werden nur Verbindungen weitergeleitet, die schon bekannt sind (established), der Rest wird abgelehnt, da nicht zuordenbar (new). Der einzige Anwendungsfall von drops beim forwarden ist imho, wenn man aus irgendwelchen Gründen ausgehende Verbindungen filtern will. > stateful filtern, nutze dies. Iptables kann das, was es wegwirft, > loggen. Nutze dies zur Fehleranalyse. Zum Debugen sehr zu empfehlen ist es, das zB auf tty6 ausgeben zu lassen - spart ein tail -f und man müllt sich nicht die Platte zu mit Daten, die man danach sowieso wieder löscht. > Andreas Grüße Joachim
Re: Webcam, IPTABLES und PREROUTING
Am Montag, den 20.03.2006, 17:30 +0100 schrieb Vladislav Vorobiev: > Hallo, > ich möchte meine Web-cam über NAT von aussen erreichen. Hi. > > Ich habe ein Debian Rechner(Iptables) hinter diesem Rechner mit > Webcam(adresse: 192.168.0.99). > > Konfiguration von IPTABLES > > #!/bin/sh > > iptables -F > iptables -F -t nat > iptables -X > > iptables -A INPUT -i ppp0 -p udp --dport 53 -j ACCEPT #DNS > iptables -A INPUT -i ppp0 -p udp --sport 53 -j ACCEPT > iptables -A INPUT -i ppp0 -p udp -j REJECT > iptables -A INPUT -i ppp0 -p tcp ! --syn -j ACCEPT > > iptables -A INPUT -i ppp0 -p udp --dport 8000 -j ACCEPT #Webcam > iptables -t nat -A PREROUTING -i ppp0 -p udp --dport 8000 -j DNAT --to > 192.168.0.99:8000 > iptables -A FORWARD -i ppp0 -p udp --dport 8080 -j ACCEPT #Webcam > > Die Webcam funktioniert Local im Netzwerk über mms://192.168.0.99:8000 > Von aussen aber nicht. > Was ist hier falsch? Hast du einen Router im Einsatz? Wenn ja, ist dort Port 8000 freigegeben? > > > Grüsse > Vladislav Gruß Herbert -- Herbert Winsaic <[EMAIL PROTECTED]>
Re: Webcam, IPTABLES und PREROUTING
am 20.03.2006, um 16:59:10 +0100 mailte Vladislav Vorobiev folgendes: > iptables -A INPUT -i ppp0 -p udp --dport 8000 -j ACCEPT #Webcam Warum Du willst DNAT, dann hat das nix in INPUT zu suchen. > iptables -t nat -A PREROUTING -i ppp0 -p udp --dport 8000 -j DNAT --to > 192.168.0.99:8000 Warum UDP? Ich bezweifle dies, my guess: TCP > iptables -A FORWARD -i ppp0 -p udp --dport 8080 -j ACCEPT #Webcam Du machst DNAT auf UDP von 8000 und erlaubst in FORWARD 8080? > > Die Webcam funktioniert Local im Netzwerk über mms://192.168.0.99:8000 > Von aussen aber nicht. > Was ist hier falsch? Eine ganze Menge. Sollte dies das gesammte Regelwerk sein, so erlaubst Du quasi alles. Naja, nicht ganz. Da fehlt eine Policy. Iptables kann stateful filtern, nutze dies. Iptables kann das, was es wegwirft, loggen. Nutze dies zur Fehleranalyse. Andreas -- Andreas Kretschmer(Kontakt: siehe Header) Heynitz: 035242/47215, D1: 0160/7141639 GnuPG-ID 0x3FFF606C http://wwwkeys.de.pgp.net ===Schollglas Unternehmensgruppe=== -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Webcam, IPTABLES und PREROUTING
Hallo, ich möchte meine Web-cam über NAT von aussen erreichen. Ich habe ein Debian Rechner(Iptables) hinter diesem Rechner mit Webcam(adresse: 192.168.0.99). Konfiguration von IPTABLES #!/bin/sh iptables -F iptables -F -t nat iptables -X iptables -A INPUT -i ppp0 -p udp --dport 53 -j ACCEPT #DNS iptables -A INPUT -i ppp0 -p udp --sport 53 -j ACCEPT iptables -A INPUT -i ppp0 -p udp -j REJECT iptables -A INPUT -i ppp0 -p tcp ! --syn -j ACCEPT iptables -A INPUT -i ppp0 -p udp --dport 8000 -j ACCEPT #Webcam iptables -t nat -A PREROUTING -i ppp0 -p udp --dport 8000 -j DNAT --to 192.168.0.99:8000 iptables -A FORWARD -i ppp0 -p udp --dport 8080 -j ACCEPT #Webcam Die Webcam funktioniert Local im Netzwerk über mms://192.168.0.99:8000 Von aussen aber nicht. Was ist hier falsch? Grüsse Vladislav