Re: Paketfilter

Thu, 28 Oct 2004 08:51:28 -0700 

Am Donnerstag, 28. Oktober 2004 13:47 schrieb Mariusz Rakowski:
> Hallo Listies,
>
> wir haben beschlossen unser lokales Netzwerk in der schule durch eine
> restriktive woodybasierte firewall zu sch�tzen. Im probebetrieb haben
> sich jedoch Probleme gezeigt auf die ich trotz intensiver suche keine
> antwort weiss. Ich bin so langsam am verzweifeln.

IP-Forwarding ist aber eingeschaltet, ja?

(echo "1" > /proc/sys/net/ipv4/conf/<dev>/forwarding
 echo "1" > /proc/sys/net/ip4v/ip_forward )

> hier ein auszug aus dem script
>
> echo 1 > /proc/net/sys/ipv4/ip_forward
>
> iptables -F
> iptables -X
> iptables -t nat -F
> iptables -t nat -X
>
> iptables -P INPUT ACCEPT
> iptables -P OUTPUT ACCEPT

Wollt ihr diese Standard-Policies wirklich? Damit darf alles rein und 
alles raus, der Rechner selbst ist also wie ein offenes Scheunentor.

> iptables -P FORWARD DROP
>
> iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
> iptables -A FORWARD -p udp --dport 80 -j ACCEPT
> iptables -A FORWARD -p tcp --dport 53 -j ACCEPT
> iptables -A FORWARD -p udp --dport 53 -j ACCEPT

Damit werden alle Pakete _an_ Port 80 bzw. 53 weitergeleitet.

Eine HTTP-Session sieht aber (vereinfacht) so aus:

         Port x -------(Anfrage)--------------> Port 80
 Client                                                  Server
         Port x <------(Antwort)--------------- Port 80
(x > 1024)

Damit ist also Port 80 nur f�r die Anfrage der Zielport, f�r die Antwort 
vom Server ist der in der Anfrage verwendete Quellport der Zielport. Und 
damit wird die Antwort nicht durchgelassen.

F�r andere Dienste gilt es meist analog.

Du solltest dich intensiv mit den M�glichkeiten von IP-Tables vertraut 
machen. Daf�r ist auch ein Grundwissen �ber den Ablauf von TCP- und 
UDP-Verbindungen n�tzlich. Man kann hier sehr viel mehr als nur die Ports 
ber�cksichtigen - und das sollte man auch nutzen.

> iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

Das ist OK, die R�ckrichtung wird automatisch gesteuert (vorausgesetzt, 
dass die Pakete �berhaupt geroutet (forwarded) werden.

-- 
Gru�
  MaxX
Hinweis: PMs an diese Adresse werden automatisch vernichtet (Filter 
nach /dev/null).

Antwort per Email an