hiho,
da ist etwas bei iptables das ich nicht verstehe - und zwar dieses neue match "-m match --state RELATED, NEW usw."
nehmen wir an ich stell meine INPUT policy auf DROP und muss daher alles was ich im web tun will explizit erlauben.
ich red hier nicht vom anbieten von services - sondern ganz normale dinge wie webseiten aufrufen - email abrufen usw.
denn fĂĽr all das muss ich ja auch traffic vom jeweiligen sport, ie. 80, zulassen.
so - frĂĽher - mit ipchains, hab ich das so erledigt :
ipchains -A input -p tcp --sport 80 ! --syn -j ACCEPT
und das ganze fĂĽr jedes remoteservice das ich benutzen wollte.
nun gibts aber da mit iptables dieses neue match modul - nämlich das wo man verbindungen die versch. states haben ansprechen kann.
und da hab ich jetzt auf www.linuxguruz.net iptables scripts gefunden die fĂĽr oben genannte situation NUR mehr 1 zeile verwenden die dann irgendwie so aussieht :
iptables -A INPUT -p tcp -m state --state RELATED, ESTABLISHED -j ACCEPT
und das ist dann eigentlich auch schon alles.....
dann hab ich aber wieder woanders auch ein iptables script gefunden der dasselbe so gelöst hat wie ich oben mit ipchains - nämlich jeden port einzeln freigeben.
und das versteh ich nicht - was ist jetzt richtig/besser ?
ich kann mir irgendwie nicht vorstellen dass diese obige zeile mit den states alles sein kann - kommt mir ein bisschen wenig vor.....
kann mir das jemand erklären ?
--qu
eine iptables frage
Forumsregeln
Das Forum fĂĽr den Linux-Pinguin - auch andere Unix-Derivate (*BSD, (Open)Solaris, Apple's Darwin / MacOS X, ...) sind hier willkommen!
Das Forum fĂĽr den Linux-Pinguin - auch andere Unix-Derivate (*BSD, (Open)Solaris, Apple's Darwin / MacOS X, ...) sind hier willkommen!
3 Beiträge
• Seite 1 von 1
RE: eine iptables frage
von Gerhard » Sa 16 Mär, 2002 14:02
> ich kann mir irgendwie nicht vorstellen dass diese obige zeile mit den states alles sein kann - kommt mir ein bisschen wenig vor.....
Doch, ist alles. Meine Firewall-Script besitzt eine (beinahe) identische Zeile und damit scheint alles abgedeckt zu sein. (Vielleicht verwendest du komplexere (nicht-standard) Protokolle, mit mehreren Ports, die eine Sonderbehandlung in deiner Firewall benötigen).
> was ist jetzt richtig/besser ?
Richtig sind wohl beide, welches schneller ist, kann ich nicht sagen. Ăśbersichtlicher ist die "state"-Variante, sicherer (da man jedes gewĂĽnschte Port explizit anfĂĽhren muĂź) wird wohl die alte Variante sein.
Schöne Grüße,
Gerhard
Doch, ist alles. Meine Firewall-Script besitzt eine (beinahe) identische Zeile und damit scheint alles abgedeckt zu sein. (Vielleicht verwendest du komplexere (nicht-standard) Protokolle, mit mehreren Ports, die eine Sonderbehandlung in deiner Firewall benötigen).
> was ist jetzt richtig/besser ?
Richtig sind wohl beide, welches schneller ist, kann ich nicht sagen. Ăśbersichtlicher ist die "state"-Variante, sicherer (da man jedes gewĂĽnschte Port explizit anfĂĽhren muĂź) wird wohl die alte Variante sein.
Schöne Grüße,
Gerhard
- Gerhard
RE: eine iptables frage
von quay » Sa 16 Mär, 2002 14:30
>Richtig sind wohl beide, welches schneller ist, kann ich nicht sagen. Ăśbersichtlicher >ist die "state"-Variante, sicherer (da man jedes gewĂĽnschte Port explizit anfĂĽhren >muĂź) wird wohl die alte Variante sein.
hmm - ja - so hab ich mir das auch gedacht.....
tjo - dann werd ich das wohl auch so machen.....
thx
--qu
hmm - ja - so hab ich mir das auch gedacht.....
tjo - dann werd ich das wohl auch so machen.....
thx
--qu
- quay
3 Beiträge
• Seite 1 von 1
ZurĂĽck zu LINUX & UNIX-DERIVATE
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 10 Gäste