Connection Tracking Problem

Maximilian Wilhelm max at rfc2324.org
Fri Feb 19 06:52:38 CET 2010


Anno domini 2010 Hauke Homburg scripsit:

Moin!

(Noch keine $Wachmachdroge gehabt? :))

> Ich versuche gerade eine Firewall Script mit Connection Tracking zu
> vereinfachen. Dabei hbe ich folgendes Verständnisproblem:

> iptables -A FORWAD -i $input_interface -s 0.0.0.0 -d $put_interface -d
> $destination_lan --dport 80-m state --state NEW,RESTABLISHED -j ACCEPT

Ich vermute mal, dass Du
 a) 'ESTABLISHED' meinst als zweiten State
 b) '-o $put_interface'
 c) noch ein ' -p tcp' dazuschreiben willst

Das wäre dann auf deutsch:
 Alle Pakete, die über $input_interface reinkommen, über $put_interface
 rausgehen und an eine Kiste aus dem IP-Netz $destination_lan an Port
 80/tcp gehen dürfen durch, wenn sie eine neue Verbindung aufmachen,
 oder zu eine existierenden gehören.

 Das state-Match bringt Dir an der Stelle im Vergleich zur
 stateless-Methode den Bonus, dass so Schweinkram wie "Verbindungsaufbauen"
 mit kaputten TCP-Flags nicht matchen und somit nicht durchkommen.

> Damit kontrollire ich nach meinem Veständnis erstmal nur den
> Netzwerkverkehr zwichen 2 Interfaces und 2 bestimmten IP Adress
> Bereichen.  Auf Port 80.

s.o.

> Ist es nun für Iptbles ein Unterschied ob ich folgendes Schreibe:

> iptables -A FORWAD -i $input_interface -s 0.0.0.0 -d $put_interface -d
> $destination_lan --dport 80-m state --state RESTABLISHED -j ACCEPT

> oder

> iptbles -A FORWARD -m state --state ESTABLISHED .j ACCEPT

> Nach meiner Meinung würde die zweite Zeile genau auf die Verbindung der
> ertsen Zeile ansprechen. Die 3. Zeile dagegen würde "allgemein" alles
> durchlassen was bereits ne Verbindung hat. Sehe ich das richtig?

Von den initial genannten Fehlern abgesehen, ja. :)

HTH
Ciao
Max
-- 
Lauf nicht vor Deinem Glück davon:
Es könnte hinter Dir stehen!



More information about the Linux mailing list