On Thu, Jun 01, 2006 at 12:07:15PM +0200, Chris C. wrote: > ich baue gerade eine kleine Firewall für dem Übergang zwischen Wlan und dem > restlichen Netzwerk, bisher habe ich meine Firewalls immer unter OBSD mit PF > oder PIXen erstellt, geht aber diesesmal aufgrund einiger Besonderheiten > nicht... > > Ich stoße bei dem erstellen der rules auf ein Problem: > Wenn ich > $IPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT > $IPT -A INPUT -m tcp -p tcp --dport ssh -j ACCEPT > $IPT -A INPUT -p tcp -j REJECT --reject-with tcp-reset > $IPT -A INPUT -p udp -j REJECT --reject-with icmp-admin-prohibited > $IPT -A INPUT -s 192.168.17.0/255.255.255.0 -p icmp -j ACCEPT > $IPT -A INPUT -s ! 192.168.17.0/255.255.255.0 -p icmp --icmp-type > echo-request -j ACCEPT > $IPT -A INPUT -s ! 192.168.17.0/255.255.255.0 -p icmp -j REJECT --reject-with > icmp-admin-prohibited > $IPT -A INPUT -d 127.0.0.1 -j ACCEPT
Du benutzt eine etwas ungewöhnliche Reihenfolge. Normalerweise baut man einen Regelsatz so auf, dass man das erlaubt, was erlaubt sein soll. Und am Ende kommt die große Böse REJECT- oder DROP-Regel. Damit sollte deine Logik etwas einfacher werden. Meine Vorlage für ein iptables-Skript: http://workaround.org/moin/IptablesScript Von Cisco PIX weiß ich nur, dass ich darum einen großen Bogen mache, wo ich kann. ;) Gruß Christoph -- ~ ~ ".signature" [Modified] 1 line --100%-- 1,48 All
signature.asc
Description: Digital signature