Connection Tracking Problem
Maximilian Wilhelm
max at rfc2324.org
Fri Feb 19 06:52:38 CET 2010
Anno domini 2010 Hauke Homburg scripsit:
Moin!
(Noch keine $Wachmachdroge gehabt? :))
> Ich versuche gerade eine Firewall Script mit Connection Tracking zu
> vereinfachen. Dabei hbe ich folgendes Verständnisproblem:
> iptables -A FORWAD -i $input_interface -s 0.0.0.0 -d $put_interface -d
> $destination_lan --dport 80-m state --state NEW,RESTABLISHED -j ACCEPT
Ich vermute mal, dass Du
a) 'ESTABLISHED' meinst als zweiten State
b) '-o $put_interface'
c) noch ein ' -p tcp' dazuschreiben willst
Das wäre dann auf deutsch:
Alle Pakete, die über $input_interface reinkommen, über $put_interface
rausgehen und an eine Kiste aus dem IP-Netz $destination_lan an Port
80/tcp gehen dürfen durch, wenn sie eine neue Verbindung aufmachen,
oder zu eine existierenden gehören.
Das state-Match bringt Dir an der Stelle im Vergleich zur
stateless-Methode den Bonus, dass so Schweinkram wie "Verbindungsaufbauen"
mit kaputten TCP-Flags nicht matchen und somit nicht durchkommen.
> Damit kontrollire ich nach meinem Veständnis erstmal nur den
> Netzwerkverkehr zwichen 2 Interfaces und 2 bestimmten IP Adress
> Bereichen. Auf Port 80.
s.o.
> Ist es nun für Iptbles ein Unterschied ob ich folgendes Schreibe:
> iptables -A FORWAD -i $input_interface -s 0.0.0.0 -d $put_interface -d
> $destination_lan --dport 80-m state --state RESTABLISHED -j ACCEPT
> oder
> iptbles -A FORWARD -m state --state ESTABLISHED .j ACCEPT
> Nach meiner Meinung würde die zweite Zeile genau auf die Verbindung der
> ertsen Zeile ansprechen. Die 3. Zeile dagegen würde "allgemein" alles
> durchlassen was bereits ne Verbindung hat. Sehe ich das richtig?
Von den initial genannten Fehlern abgesehen, ja. :)
HTH
Ciao
Max
--
Lauf nicht vor Deinem Glück davon:
Es könnte hinter Dir stehen!
More information about the Linux
mailing list