Anno domini 2010 Hauke Homburg scripsit: Moin!
(Noch keine $Wachmachdroge gehabt? :)) > Ich versuche gerade eine Firewall Script mit Connection Tracking zu > vereinfachen. Dabei hbe ich folgendes Verständnisproblem: > iptables -A FORWAD -i $input_interface -s 0.0.0.0 -d $put_interface -d > $destination_lan --dport 80-m state --state NEW,RESTABLISHED -j ACCEPT Ich vermute mal, dass Du a) 'ESTABLISHED' meinst als zweiten State b) '-o $put_interface' c) noch ein ' -p tcp' dazuschreiben willst Das wäre dann auf deutsch: Alle Pakete, die über $input_interface reinkommen, über $put_interface rausgehen und an eine Kiste aus dem IP-Netz $destination_lan an Port 80/tcp gehen dürfen durch, wenn sie eine neue Verbindung aufmachen, oder zu eine existierenden gehören. Das state-Match bringt Dir an der Stelle im Vergleich zur stateless-Methode den Bonus, dass so Schweinkram wie "Verbindungsaufbauen" mit kaputten TCP-Flags nicht matchen und somit nicht durchkommen. > Damit kontrollire ich nach meinem Veständnis erstmal nur den > Netzwerkverkehr zwichen 2 Interfaces und 2 bestimmten IP Adress > Bereichen. Auf Port 80. s.o. > Ist es nun für Iptbles ein Unterschied ob ich folgendes Schreibe: > iptables -A FORWAD -i $input_interface -s 0.0.0.0 -d $put_interface -d > $destination_lan --dport 80-m state --state RESTABLISHED -j ACCEPT > oder > iptbles -A FORWARD -m state --state ESTABLISHED .j ACCEPT > Nach meiner Meinung würde die zweite Zeile genau auf die Verbindung der > ertsen Zeile ansprechen. Die 3. Zeile dagegen würde "allgemein" alles > durchlassen was bereits ne Verbindung hat. Sehe ich das richtig? Von den initial genannten Fehlern abgesehen, ja. :) HTH Ciao Max -- Lauf nicht vor Deinem Glück davon: Es könnte hinter Dir stehen! -- Linux mailing list [email protected] subscribe/unsubscribe: http://lug-owl.de/mailman/listinfo/linux Hinweise zur Nutzung: http://www.lug-owl.de/Mailingliste/hints.epo
