Connection Tracking Problem

Florian Lohoff f at zz.de
Fri Feb 19 19:07:38 CET 2010 

On Fri, Feb 19, 2010 at 05:55:39AM +0100, Hauke Homburg wrote:
> Ich versuche gerade eine Firewall Script mit Connection Tracking zu  
> vereinfachen. Dabei hbe ich folgendes Verständnisproblem:
>
> iptables -A FORWAD -i $input_interface -s 0.0.0.0 -d $put_interface -d  
> $destination_lan --dport 80-m state --state NEW,RESTABLISHED -j ACCEPT

FORWAD -> FORWARD 
RESTABLISHED -> ESTABLISHED

-s 0.0.0.0 ist redundant - und ich wuerde die eintraege separieren um
es uebersichtlich zu gestalten ...

Sowas waere fuer mich der simpelste firewalling teil der nur ssh zulaesst:

	# Erster eintrag - alles zulassen was wir schon kennen (->schnell)
	iptables -A HOME -m state --state ESTABLISHED,RELATED -j ACCEPT
	# Alles was von intern kommt (auch vlans etc) neuer state -> ACCEPT
	iptables -A HOME -m state --state NEW -i eth0+ -j ACCEPT
	# Wenn dport 22 neuer state ACCEPT
	iptables -A HOME -m state --state NEW -p tcp --dport 22 -j ACCEPT
	# Alles andere REJECT
	iptables -A HOME -j REJECT --reject-with=icmp-admin-prohibited

Ich habe das als liste HOME weil ich dann einfach HOME in die FORWARD
liste so einhaenge:

	iptables -A FORWARD -j HOME

Meine ganze Geschichte ist deutlich laenger da ich kein NAT mache Zuhause
so das ich wirklich auch Firewalling brauche damit nicht hier gleich alle
Windows kisten umfallen.

Ach ja - das RELATED macht Sinn wenn man da sowas wie FTP macht. Dann kann
der application proxy das erkennen das die datenverbindung dazu gehoert und
die auch durchlassen.

Flo
-- 
Florian Lohoff                                                 f at zz.de
"Es ist ein grobes Missverständnis und eine Fehlwahrnehmung, dem Staat
im Internet Zensur- und Überwachungsabsichten zu unterstellen."
- - Bundesminister Dr. Wolfgang Schäuble -- 10. Juli in Berlin 
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 827 bytes
Desc: Digital signature
URL: <http://lug-owl.de/pipermail/linux/attachments/20100219/a2d69420/attachment.sig>

More information about the Linux mailing list