am  Thu, dem 09.01.2003, um 15:07:32 +0100 mailte Christian H�ning folgendes:
> Hi,

Bitte keine HTML-Mail!

> meinen web.de konten ab. Nun wird doch die Standart Policy immer ans Ende eine
> Tabelle gestellt (oder?), ich setze die Input Policy also auf DROP und splitte
> die 2 Interfaces,

�hm. Die Policy stellt man eigentlich am Anfang ein, und zwar f�r die
built-in - Ketten. Dazu dient -P. man-page lesen hilft weiter.


>  die ich habe auf. Einmal f�r Lan und einmal f�rs Internet.
> Lab bekommt unbeschr�nkten Zugriff und Internet hat folgende Regeln:


> 
> /usr/sbin/iptables -A INPUT -i ppp0 --jump bad-in

bad-in handelt also alles, was von extern kommt.


> 
> /usr/sbin/iptables -A bad-in -p tcp -m state --state RELATED,ESTABLISHED -j
> ACCEPT
> 
> /usr/sbin/iptables -A bad-in -p udp -m state --state RELATED,ESTABLISHED -j
> ACCEPT

Damit werden Pakete zu bestehenden Verbindungen incl. dazugeh�riger
Verbindungen erlaubt.


> 
> /usr/sbin/iptables -A bad-in -p tcp --dport domain -j ACCEPT
> /usr/sbin/iptables -A bad-in -p udp --dport pop3 -j ACCEPT
> /usr/sbin/iptables -A bad-in -p tcp --dport pop3 -j ACCEPT
> /usr/sbin/iptables -A bad-in -p tcp --dport www -j ACCEPT
> /usr/sbin/iptables -A bad-in -p tcp --dport https -j ACCEPT


Damit erlaubst Du, da� _von au�en_ DNS, POP3, WWW zug�nglich ist. Willst
Du das?

> 
> /usr/sbin/iptables -A bad-in --jump DROP

Allgemein nicht gut, sang- und klanglos wegzuwerfen, REJECT w�re besser.
Was fehlt, ist ICMP. Nicht wirklich gut, das wegzuwerfen.


> Ist nun also Input Policy auf DROP kann ich auf dem Linux Rechner nicht mehr
> surfen (w3m) und

Dazu m��te man wissen, was mit OUTPUT ist.


> 
> der Windows Client kann keine Mails mehr empfangen und komischerweise auch
> nicht senden...

Das ist nun wieder was ganz was anderes. Wenn er das soll, brauchst Du
Dinge wie IP-Masquerade oder Port-Forward.


> Ist wahrscheinlich irgendwas total Bl�des aber was?

Ja. Lies die Doku, http://netfilter.samba.org. Lohnt sich, ist gut und
auch f�r Anf�nger verst�ndlich geschrieben.


Andreas
-- 
Diese Message wurde erstellt mit freundlicher Unterst�tzung eines freilau-
fenden Pinguins aus artgerechter Freilandhaltung.   Er ist garantiert frei
von Micro$oft'schen Viren. (#97922 http://counter.li.org)     GPG 7F4584DA
Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082�, E 13.56889� ;-)

Attachment: msg31634/pgp00000.pgp
Description: PGP signature

Antwort per Email an