Hinweis: Das Forum wird geschlossen! Neue Registrierungen sind nicht mehr möglich!

 Zurück zu Pro-Linux   Foren-Übersicht   FAQ     Suchen    Mitgliederliste
iptables

 
Neuen Beitrag schreiben   Auf Beitrag antworten    Pro-Linux Foren-Übersicht -> Sicherheit
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
flaco
Gast





BeitragVerfasst am: 22. Sep 2004 18:08   Titel: iptables

Hallo,
bisher hatte ich ein analoges Modem und in iptables stand

Code:
iptables -A BLOCK -m state --state NEW -i ! ppp0 -j ACCEPT


um neue Verbindungen zu akzeptiern, es sei denn, sie kaemen ueber ppp0.

Jetzt habe ich DSL, weshalb eth0 auch noch einbezogen wird (pppoe). Muss ich jetzt auch noch eine entspr. Zeile fuer eth0 einbauen?

Danke!


gruss
jj
 

CheersMichael
Gast





BeitragVerfasst am: 23. Sep 2004 11:46   Titel:

Witzisch, was denn nun - BLOCK oder ACCEPT? Wie auch immer. Da Du nunmehr via eth0 an das INet gebunden bist, statt über ppp0 ist ppp0 gegen eth0 zu tauschen, um den gleichen Stand wie bei der Modemverbindung zu haben.

alt: iptables -A BLOCK -m state --state NEW -i ! ppp0 -j ACCEPT
neu: iptables -A BLOCK -m state --state NEW -i ! eth0 -j ACCEPT

Hier steht aber lediglich: Akzeptiere alle neuen Verbindungen, außer sie gehen über eth0 ein. Fragwürdige Regel. Besser wäre:

iptables -A BLOCK -m state --state NEW -i eth0 -j DROP

Cheers

Michael
 

flaco
Gast





BeitragVerfasst am: 23. Sep 2004 12:01   Titel: iptables

Danke fuer Deine Antwort.

Meine alten iptables beruhten auf dem Vorschlag von Rusty Russel (heisst er glaube ich, einer von den Gurus).

Hier wird eine neue chain (heisst es wohl) namens BLOCK hinzugefügt (-A), die koennte auch SCHNIRK heissen.

Wenn ich mit Deinem Vorschlag alle neuen Verbindungen ueber eth0 droppe, muss ich mich um die anderen neuen Verbindungen gesondert kuemmern, denn die policy ist DROP.

Wenn ich aber alle neuen Verbindungen akzeptiere ausser denen, die ueber eth0 kommen, habe ich alles in einem Aufwasch.

Jedenfalls verstehe ich Dich so, dass es genuegt, wenn ich mich um eines der beiden interfaces kuemmere.

gruss
jj
 

flaco
Gast





BeitragVerfasst am: 24. Sep 2004 15:09   Titel: iptables

> Hier wird eine neue chain (heisst es wohl) namens BLOCK hinzugefügt (-A),
> die koennte auch SCHNIRK heissen.

Das ist natuerlich Quatsch.

Vielmehr wird der - zuvor mit
Code:
 iptables -N
neu erstellten - chain BLOCK eine neue Regel hinzugefuegt mit
Code:
iptables -A
.

gruss
jj
 

CheersMichael
Gast





BeitragVerfasst am: 27. Sep 2004 11:16   Titel:

Zitat:
Witzisch, was denn nun - BLOCK oder ACCEPT? Wie auch immer.


Und ich hab' mich nur dran gestört, eine Chain voller ACCEPT-Rules mit BLOCK zu bezeichnen!

Cheers

Michael
 

Beiträge vom vorherigen Thema anzeigen:   
     Pro-Linux Foren-Übersicht -> Sicherheit Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehen Sie zu:  

Powered by phpBB © phpBB Group
pro_linux Theme © 2004 by Mandaxy