Am Mittwoch, 13. November 2002 09:48 schrieb Achim Hoffmann:
lieber Matthias, entschuldige dass ich etwas direkt werde, aber deine letzen 3 Postings zu diesem Thema waren, na sagen wir mal vorsichtig, unueberlegt. Die Zitate spare ich mir ...
1. was "von" bzw. "zu" eth1 bedeutet ist kontextabhaengig, d.h. ob ich von aussen auf die Firwall schaue oder auf der Firewall selbst sitzte, oder ob die Firewall ein Router ist. Aller Antworten hatten wohl den gleichen Kontext angenommen wie der Fragende, nur du siehst es anders (was nicht unbedingt verkehrt ist, aber darum anzunehmen dass das alle so sehen ist FALSCH, nicht die anderen Antworten). Im Kontext von iptables bedeutet "aussen" immer vor dem Interface, also auf dem Kabel, und "innen" tcp/ip-Treiber. Zwischen "aussen" und "innen" arbeitet iptables. Bei der FORWARD Chain ist es geringfuehgig anders.
Sicher, es ist Ansichtssache. Als Firewall betrachte ich das System, iptables ist keine Firewall. Und da ist "von eth1" das, was von diesem NIC kommt. Aber er meinte es wirklich anders; ich hab auch ehrlich gesagt nicht viel drüber nachgedacht, was er damit bezwecken wollte, denn es würde nicht viel Sinn machen.
2. -P und -i sind inkompatible, weil -P die Chain (oder sagen wir genauer: die letzte Regel der Chain) bearbeitet. waehrend -i auf genau eine Regel innerhalb der Chain zutrifft. Statt "Hä?" zu schreiben also besser: man iptables ;-)
Das ist richtig, und ich hab einfach nicht genau gelesen. Ich sollte einfach in schlaftrunkenem Zustand die Liste meiden (oder vielleicht gleich den Computer? ;-)
3. die Regel mit --sport 22 wurde angegeben weil explizit nach ssh gefragt wurde, schau einfach ins Archiv
Find ich nicht, ist aber auch egal.
4. klar ist der Rechner zu wenn man -P INPUT DROP macht, aber nur wenn keine weiteren Regeln angegeben werden. Das ist ein wesentlicher Unterschied zu iptables -A INPUT -j DROP und wenn du meine Beispiele anschaust, dann siehst du, dass ich nicht -A, sondern immer -I verwendet habe! Wenn dir -A -I und -P unklar ist: man iptables
Richtig, aber er wollte ja _erst_ mal alles dicht machen, mit -P <chain> DROP mach ich alles dicht, was bis hierher in dieser Chain noch keine Regel gefunden hat. Das ist ein kleiner, aber feiner Unterschied.
Damit sind die Regeln nicht unsinnig, sondern sie machen ungefaehr (oder vielleicht sogar genau) das was gefragt wurde.
Die Frage ist, ob das auch von Stefan alles verstanden wurde. Denn nichts ist IMHO schlimmer, als mit Halbwissen einen Paketfilter zu installieren und dann zu meinen, man habe seinen PC mit einer geilen Firewall sicher(er) gemacht. Zunächst sollte man sich im Klaren darüber werden, wie die Kommunikation über halbwegs funktioniert. Dann sollte man sich Gedanken darüber machen, was an Kommuniaktion überhaupt laufen kann - und was ich davon auf welchem Interface mit welchen Regeln erlauben will. Und dann kann man entscheiden, wie welche Regeln gesetzt werden sollen. Deine angegebenen Regeln sind unsinnig, denn sie machen höchstens ungefähr das, was gefragt wurde. Ist aber keine Kritik an deinen Regeln, denn die Fragestellung war schon nicht eindeutig. Alles in allem ist das aber ein sehr interessantes Thema und ich kann Stefan nur empfehlen, sich intensiv mit der Materie zu befassen. Das Script in der Mail von Joerg Henner ist ganz interesant, aber wirklich ehrlich durchkämpfen und verstehen. -- Gruß MaxX