Am Dienstag, 19. April 2011, 15:25:37 schrieb Markus Schönhaber: > 19.04.2011 11:55, Stephan Schaffner: > > Für die default policy muss ich ja dann folgendes angeben: > > > > iptables -P INPUT DROP > > iptables -P OUTPUT ACCEPT > > iptables -P FORWARD DROP > > > > Dieses Beispiel würde dann folgendes Bewirken: > > > > Alle Pakete die eingehen sowie weitergeleitet werden und keine > > explizierte Regel haben werden geblockt. Alle Ausgehenden Pakete werden > > erlaubt. Somit müsste dann für einen Reibungslosen ablauf noch folgendes > > eingetragen werden: > > > > -A INPUT -i eth1 -p tcp -m tcp --dport 80 -j ACCEPT damit der Server WWW > > Verbindungen aufbauen kann > > -A INPUT -i eth1 -p tcp -m tcp --dport 21 -j ACCEPT für FTP Verbindungen > > > > Wenn diese Zwei regeln aktiv sind kann ich dann wahrscheinlich wieder per > > apt-get Pakete beziehen. Und beim Multiplayer zocken müsste dann die > > obere Regel greifen die ja ausgehende Verbindungen, initiiert durch das > > Subnet erlaubt. > > > > Gut, hab ich ja heute was zu checken :D Danke auf jedenfall! > > Und da Du dann auch checken willst, warum apt-get trotzdem nicht > funktioniert, hier noch zwei Anmerkungen: > 1. Die Regeln sind "verkehrt herum". > 2. ftp ist komplizierter als man denkt, was das Erlauben von ftp in > Paketfiltern angeht. ftp benutzt nämlich zwei TCP-Verbindungen, eine als > Kommando- und die zweite als Datenkanal. Und den Dateakanal auch noch in zwei verschiedenen Arten (aktiv und passiv). Bei aktiv bekommt der Server von Client über ein " control connection: "Port: Nr >= 1024" eine Datenkanal zugewiesen. Diesen Kanal baut der Server "aktiv" auf. Ganz doof für Firewalls. Bei passiv sendet der FTP Client ein " control connection: " PASV " auf das der Server mit " control connection: "OK : >= PORTNr >=1024" antwortet. Nun baut der Client einen Datenkanal data connetion: SYN auf diesen Port auf. Der Server ist also passiv. Regeln fuer passiv lok . Adresse : port : Richtung: externe: Adresse: Port: Protokoll X.X.X.X: >1024:--> : ANY:21:TCP X.X.X.X:>1024:-->:ANY:>1024:TCP
MfG Frank -- Frank Eckhardt Laurentiusstraße 22 65207 Wiesbaden ************************ Wollen Sie mir eine persönlich E-Mail senden, benutzen Sie bitte OpenPGP (GnuPG). Windowsprogramm (GPL) unter http://home.arcor.de/rose-indorf/ OpenPGP Fingerprint: 4052 BC5D 2F7A 6D1E A7D2 BF5D 4709 3730 30C7 D29A -- ---------------------------------------------------------------------------- PUG - Penguin User Group Wiesbaden - http://www.pug.org
