Re: iptables -geht das so?
jonni jalass [EMAIL PROTECTED] wrote: Am Freitag, 27. September 2002 16:04 schrieb [EMAIL PROTECTED]: Richtig. Die Frage ist, warum nicht alle NEWs gedroppt werden sollen? Soll jemand über ein anderes Interface auf den Rechner zugreifen können, z. B. Ethernet? Hm - werden nicht rechnerintern staendig neue Verbindungen aufgebaut, die durch die INPUT-Chain laufen, zB zum X-Server, zum lpd-Server usw.? Wuerden die nicht auch gedropt werden? Ja. Würden, wenn nicht ! $external-device stehen würde. Oder haengt das zusammen mit dem lo-Interface (loopback?), Ja. Soweit ich das begreife, wird das lo nur rechnerintern genutzt. NEWs ueber lo koennen (und sollen) daher wohl akzeptiert werden. Ja. Bei mir kommt noch hinzu, das ich über eth0 Internet habe und über eth1 und eth2 das Intranet finde. Von dort sollen NEW connections (also SYN) erlaubt sein, von aussen aber nur auf speziellen Ports. Der Vorteil von Statefull gegen alles REJECTen, was das SYN-Bit gesetzt hat: active ftp funktioniert weiter, DNS, etc. Das wird nämlich durch das RELATED durchgelassen, während solche Dinge bei einfachem REJECTen von SYN auch abgeschossen worden wäre. S° -- BOFH excuse #261: The Usenet news is out of date -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
iptables -geht das so?
Hallo zusammen, habe hier einen Woody-Rechner (Kernel 2.4.x), der ganz allein ohne Vernetzung einfach nur Surfen im Internet und Versenden/Abholen von Emails ueber den Server von Hansenet ermoeglichen soll, wo per Internet-by-call eingewaehlt wird. Da ich mir mit dem iptables-Klingonisch unsicher bin, waere ich dankbar fuer eine Meinung zum Vorschlag von Rusty Russel im packet-filtering-HOWTO: -- ## Create chain which blocks new connections, ## except if coming from inside. iptables -N block iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A block -m state --state NEW -i ! ppp0 -j ACCEPT iptables -A block -j DROP ## Jump to that chain from INPUT and FORWARD chains. iptables -A INPUT -j block iptables -A FORWARD -j block --- Das ergibt bei mir mit iptables -Le (Ausgabe gekuerzt um die Spalten pkts und bytes und gequetscht): Chain INPUT (policy DROP 12 packets, 1716 bytes) target prot opt inout source destination block all -- any any anywhere anywhere Chain FORWARD (policy DROP 0 packets, 0 bytes) target prot opt inout source destination block all -- any any anywhere anywhere Chain OUTPUT (policy ACCEPT 386 packets, 53126 bytes) target prot opt in out source destination Chain block (2 references) target prot opt inout source destination ACCEPT all -- any any anywhere anywhere state RELATED,ESTABLISHED ACCEPT all -- !ppp0 any anywhere anywhere state NEW DROP all -- any any anywhere anywhere --- Verstehe ich es richtig, dass dadurch alle reinkommenden Pakete ueber die Chain INPUT zur Chain block geleitet werden, wo - alle Pakete akzeptiert werden, wenn sie zu einer bereits bestehenden Verbindung gehoeren (ESTABLISHED) oder einer Verbindung, die aus einer bereits bestehenden hervorgegangen ist (RELATED), anschliessend - alle Pakete akzeptiert werden, die zu einer neuen Verbindung gehoeren (NEW), es sei denn, sie kommen ueber ppp0 (!ppp0), anschliessend - alle Pakete, die noch nicht akzeptiert sind, endgueltig gedropt werden, so dass im Endeffekt - Pakete, die ueber ppp0 kommen, nur akzeptiert werden, wenn ich selbst die Verbindung initiiert habe bzw. die Verbindung aus einer von mir initiierten hervorgegangen ist, - alle anderen Pakete aber unterschiedslos akzeptiert werden? Kann man das so machen, ohne dass Luecken bleiben? Besten Dank. jonni -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables -geht das so?
-- ## Create chain which blocks new connections, ## except if coming from inside. iptables -N block iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A block -m state --state NEW -i ! ppp0 -j ACCEPT iptables -A block -j DROP ## Jump to that chain from INPUT and FORWARD chains. iptables -A INPUT -j block iptables -A FORWARD -j block --- Verstehe ich es richtig, dass dadurch alle reinkommenden Pakete ueber die Chain INPUT zur Chain block geleitet werden, wo - alle Pakete akzeptiert werden, wenn sie zu einer bereits bestehenden Verbindung gehoeren (ESTABLISHED) oder einer Verbindung, die aus einer bereits bestehenden hervorgegangen ist (RELATED), anschliessend Richtig. - alle Pakete akzeptiert werden, die zu einer neuen Verbindung gehoeren (NEW), es sei denn, sie kommen ueber ppp0 (!ppp0), anschliessend Richtig. Die Frage ist, warum nicht alle NEWs gedroppt werden sollen? Soll jemand über ein anderes Interface auf den Rechner zugreifen können, z. B. Ethernet? - alle Pakete, die noch nicht akzeptiert sind, endgueltig gedropt werden, so dass im Endeffekt Richtig. - Pakete, die ueber ppp0 kommen, nur akzeptiert werden, wenn ich selbst die Verbindung initiiert habe bzw. die Verbindung aus einer von mir initiierten hervorgegangen ist, Richtig. - alle anderen Pakete aber unterschiedslos akzeptiert werden? Richtig. Kann man das so machen, ohne dass Luecken bleiben? Wenn der Rechner nur über Modem mit einem anderen Rechner verbunden ist, ist die Config lückenlos. Wenn aber einmal über ein Netzwerk ans Internet angestöpselt wird, z. B. Kabel oder ADSL, oder ISDN, dann muss man da erst eine Lücke schliessen, was leicht vergessen geht. Gruss Thiemo -- Werden Sie mit uns zum OnlineStar 2002! Jetzt GMX wählen - und tolle Preise absahnen! http://www.onlinestar.de -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables -geht das so?
Am Freitag, 27. September 2002 16:04 schrieb [EMAIL PROTECTED]: (...) Erstmal besten Dank fuer die schnelle Antwort und die vielen Richtigs! Richtig. Die Frage ist, warum nicht alle NEWs gedroppt werden sollen? Soll jemand über ein anderes Interface auf den Rechner zugreifen können, z. B. Ethernet? Hm - werden nicht rechnerintern staendig neue Verbindungen aufgebaut, die durch die INPUT-Chain laufen, zB zum X-Server, zum lpd-Server usw.? Wuerden die nicht auch gedropt werden? Oder haengt das zusammen mit dem lo-Interface (loopback?), durch das ich allerdings noch nie so richtig durchgestiegen bin? Soweit ich das begreife, wird das lo nur rechnerintern genutzt. NEWs ueber lo koennen (und sollen) daher wohl akzeptiert werden. gruss jonni -- Wie spricht man Debian eigentlich aus? __ WEB.DE Club - jetzt testen für 1 Euro! Nutzen Sie Ihre Chance unter https://digitaledienste.web.de/Club/?mc=021105 -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)