Re: iptables

Mon, 29 Nov 2004 04:57:08 -0800 

am  29.11.2004, um 13:09:38 +0100 mailte Christian Schmidt folgendes:
> Hallo Martin,
> 
> Martin R�hricht, 29.11.2004 (d.m.y):
> 
> > Mmh. Also mit seiner aktivierten SuSE Firewall kommt folgendes, wenn er
> > versucht zu drucken (was nicht funktioniert):
> > 
> > Nov 28 20:26:37 bach kernel: SFW2-INext-DROP-DEFLT-INV IN=eth0 OUT= 
> > MAC=00:08:02:67:54:29:00:c0:02:fc:6b:5d:08:00 SRC=192.168.0.11 
> > DST=192.168.0.2 LEN=44 TOS=0x00 PREC=0x00 TTL=30 ID=63126 PROTO=TCP 
> > SPT=80 DPT=1160 WINDOW=1514 RES=0x00 ACK PSH SYNURGP=0 OPT (020405EA)
> 
> Das heisst aber, dass der Printserver (SRC) eine Verbindung von seinem
> Port 80 (SPT) an Port 1160 (DPT) von bach "aufbauen" will.
> Ich vermute aber, dass diese Verbindung nur zu einer anderen gehoert -
> aufgrund des "ACK" in der letzten Zeile...

ACK. Oder der Client ist ein XP, weil die machen, zumindest bei
Zugriffen auf Freigaben, erst mal ein Test auf 80 (WebDAV).
M�glicherweise halt auch beim drucken, keine Ahnung.


> iptables -A INPUT -p tcp -s 192.168.0.11 -d 12.168.0.2 -m state \
> --state ESTABLISHED,RELATED -j ACCEPT
> erweitert, sollten die o.a. Pakete _IMO_ nicht mehr geblockt werden.

Ja, man sollte die F�higkeiten von iptables nutzen. Und das stateful
filtering ist eine wesentliche F�higkeit von itables.

> > Da ist irgendwie immer nur von Port 80 die Rede. Rechner liegt an
> > 192.168.0.2 und Printserver auf 192.168.0.11
> 
> Allmaehlich solltest Du mal erwaehnen, wie (d.h. ueber welches
> Protokoll) Ihr den Drucker ansprecht. ;-)

ACK.


> Darueberhinaus wuerde ich mich an Eurer Stelle fragen, ob Ihr
> ueberhaupt einen Paketfilter braucht. Oftmals kommt man auch ganz gut
> ohne aus.
> Und bei der Absicherung eines Systems sollte man nicht mit der
> Einrichtung eines Paketfilters beginnen...

ACK.


Andreas
-- 
Andreas Kretschmer    (Kontakt: siehe Header)
               Tel. NL Heynitz:  035242/47212
GnuPG-ID 0x3FFF606C http://wwwkeys.de.pgp.net
 ===    Schollglas Unternehmensgruppe    === 


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Antwort per Email an