On Fri, Feb 19, 2010 at 05:55:39AM +0100, Hauke Homburg wrote: > Ich versuche gerade eine Firewall Script mit Connection Tracking zu > vereinfachen. Dabei hbe ich folgendes Verständnisproblem: > > iptables -A FORWAD -i $input_interface -s 0.0.0.0 -d $put_interface -d > $destination_lan --dport 80-m state --state NEW,RESTABLISHED -j ACCEPT
FORWAD -> FORWARD
RESTABLISHED -> ESTABLISHED
-s 0.0.0.0 ist redundant - und ich wuerde die eintraege separieren um
es uebersichtlich zu gestalten ...
Sowas waere fuer mich der simpelste firewalling teil der nur ssh zulaesst:
# Erster eintrag - alles zulassen was wir schon kennen (->schnell)
iptables -A HOME -m state --state ESTABLISHED,RELATED -j ACCEPT
# Alles was von intern kommt (auch vlans etc) neuer state -> ACCEPT
iptables -A HOME -m state --state NEW -i eth0+ -j ACCEPT
# Wenn dport 22 neuer state ACCEPT
iptables -A HOME -m state --state NEW -p tcp --dport 22 -j ACCEPT
# Alles andere REJECT
iptables -A HOME -j REJECT --reject-with=icmp-admin-prohibited
Ich habe das als liste HOME weil ich dann einfach HOME in die FORWARD
liste so einhaenge:
iptables -A FORWARD -j HOME
Meine ganze Geschichte ist deutlich laenger da ich kein NAT mache Zuhause
so das ich wirklich auch Firewalling brauche damit nicht hier gleich alle
Windows kisten umfallen.
Ach ja - das RELATED macht Sinn wenn man da sowas wie FTP macht. Dann kann
der application proxy das erkennen das die datenverbindung dazu gehoert und
die auch durchlassen.
Flo
--
Florian Lohoff [email protected]
"Es ist ein grobes Missverständnis und eine Fehlwahrnehmung, dem Staat
im Internet Zensur- und Überwachungsabsichten zu unterstellen."
- - Bundesminister Dr. Wolfgang Schäuble -- 10. Juli in Berlin
signature.asc
Description: Digital signature
-- Linux mailing list [email protected] subscribe/unsubscribe: http://lug-owl.de/mailman/listinfo/linux Hinweise zur Nutzung: http://www.lug-owl.de/Mailingliste/hints.epo
