am Thu, dem 09.01.2003, um 15:07:32 +0100 mailte Christian H�ning folgendes: > Hi,
Bitte keine HTML-Mail! > meinen web.de konten ab. Nun wird doch die Standart Policy immer ans Ende eine > Tabelle gestellt (oder?), ich setze die Input Policy also auf DROP und splitte > die 2 Interfaces, �hm. Die Policy stellt man eigentlich am Anfang ein, und zwar f�r die built-in - Ketten. Dazu dient -P. man-page lesen hilft weiter. > die ich habe auf. Einmal f�r Lan und einmal f�rs Internet. > Lab bekommt unbeschr�nkten Zugriff und Internet hat folgende Regeln: > > /usr/sbin/iptables -A INPUT -i ppp0 --jump bad-in bad-in handelt also alles, was von extern kommt. > > /usr/sbin/iptables -A bad-in -p tcp -m state --state RELATED,ESTABLISHED -j > ACCEPT > > /usr/sbin/iptables -A bad-in -p udp -m state --state RELATED,ESTABLISHED -j > ACCEPT Damit werden Pakete zu bestehenden Verbindungen incl. dazugeh�riger Verbindungen erlaubt. > > /usr/sbin/iptables -A bad-in -p tcp --dport domain -j ACCEPT > /usr/sbin/iptables -A bad-in -p udp --dport pop3 -j ACCEPT > /usr/sbin/iptables -A bad-in -p tcp --dport pop3 -j ACCEPT > /usr/sbin/iptables -A bad-in -p tcp --dport www -j ACCEPT > /usr/sbin/iptables -A bad-in -p tcp --dport https -j ACCEPT Damit erlaubst Du, da� _von au�en_ DNS, POP3, WWW zug�nglich ist. Willst Du das? > > /usr/sbin/iptables -A bad-in --jump DROP Allgemein nicht gut, sang- und klanglos wegzuwerfen, REJECT w�re besser. Was fehlt, ist ICMP. Nicht wirklich gut, das wegzuwerfen. > Ist nun also Input Policy auf DROP kann ich auf dem Linux Rechner nicht mehr > surfen (w3m) und Dazu m��te man wissen, was mit OUTPUT ist. > > der Windows Client kann keine Mails mehr empfangen und komischerweise auch > nicht senden... Das ist nun wieder was ganz was anderes. Wenn er das soll, brauchst Du Dinge wie IP-Masquerade oder Port-Forward. > Ist wahrscheinlich irgendwas total Bl�des aber was? Ja. Lies die Doku, http://netfilter.samba.org. Lohnt sich, ist gut und auch f�r Anf�nger verst�ndlich geschrieben. Andreas -- Diese Message wurde erstellt mit freundlicher Unterst�tzung eines freilau- fenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert frei von Micro$oft'schen Viren. (#97922 http://counter.li.org) GPG 7F4584DA Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082�, E 13.56889� ;-)
msg31634/pgp00000.pgp
Description: PGP signature

