Hy wie gebe ich bei den iptabels Regeln das Internet als -s oder -d an ? Habe DailonDemand auf einer ISDN Karte und zwei Internenetzte. Danke -- +++ GMX - die erste Adresse für Mail, Message, More +++ Neu: Preissenkung für MMS und FreeMMS! http://www.gmx.net
Silvio Rönick am Freitag, 2. Januar 2004 10:10:
Hy
wie gebe ich bei den iptabels Regeln das Internet als -s oder -d an ? Habe DailonDemand auf einer ISDN Karte und zwei Internenetzte.
Beides. Je nachdem, ob du Pakete in das Internet (z.B. Anfragen, Uploads) oder aus dem Internet (z.B. Seitenabruf, Downloads) kontrollieren willst und welche IP-Adresse du dahinter angibst (Zielrechner/-Netz oder Quellrechner/-Netz des Datenpaketes). Wenn du z.B. TCP-Port 80 (HTTP-Protokoll) in beide Richtungen uneingeschränkt für alle Quellen und Ziele freigeben willst, brauchst du auch beide nicht anzugeben. Du willst dich sicher noch ein wenig mit den Dokumentationen zum IP-Protokollk und IP-Tables auseinandersetzen. Denn eine unwissend zusammengeflickte Firewall ist schlimmer als keine, weil sie einen in falchser Sicherheit wiegt. -- Gruß MaxX 8-)
Matthias Houdek am Freitag, 2. Januar 2004 11:11:
Silvio Rönick am Freitag, 2. Januar 2004 10:10:
Hy
wie gebe ich bei den iptabels Regeln das Internet als -s oder -d an ? Habe DailonDemand auf einer ISDN Karte und zwei Internenetzte.
Beides.
Je nachdem, ob du Pakete in das Internet (z.B. Anfragen, Uploads) oder aus dem Internet (z.B. Seitenabruf, Downloads) kontrollieren willst und welche IP-Adresse du dahinter angibst (Zielrechner/-Netz oder Quellrechner/-Netz des Datenpaketes). Wenn du z.B. TCP-Port 80 (HTTP-Protokoll) in beide Richtungen uneingeschränkt für alle Quellen und Ziele freigeben willst, brauchst du auch beide nicht anzugeben.
Du willst dich sicher noch ein wenig mit den Dokumentationen zum IP-Protokollk und IP-Tables auseinandersetzen. Denn eine unwissend zusammengeflickte Firewall ist schlimmer als keine, weil sie einen in falchser Sicherheit wiegt.
Hm, war wohl noch nicht ganz bei mir heute früh. Du meinst sicherlich, wie du das Internet als IP-Adresse angibst? Einfach als 0.0.0.0/0, das schließt alle Adressen mit ein. -- Gruß MaxX 8-)
Am Freitag, 2. Januar 2004 19:07 schrieb Matthias Houdek:
Hm, war wohl noch nicht ganz bei mir heute früh.
Naja, vielleicht profitiert ja der eine oder andere davon ;-)
Du meinst sicherlich, wie du das Internet als IP-Adresse angibst? Einfach als 0.0.0.0/0, das schließt alle Adressen mit ein.
Würd ich allerdings nicht prinzipiell so machen. Gut, bei http und ftp ist ja nicht klar, wer der Partner ist, da hab ich es natürlich auch so drin. Wenn der Partner allerdings bekannt ist, wie z.B. zum Mailserver (smtp oder pop3) kann man auf Nummer sicher gehen und direkt die IP(s) des entsprechenden Servers reinstellen. -- Machs gut | http://www.iivs.de/schwinde/buerger/tremmel/ | http://packman.links2linux.de/ Manfred | http://www.knightsoft-net.de
Manfred Tremmel am Freitag, 2. Januar 2004 22:52:
Am Freitag, 2. Januar 2004 19:07 schrieb Matthias Houdek:
Hm, war wohl noch nicht ganz bei mir heute früh.
Naja, vielleicht profitiert ja der eine oder andere davon ;-)
Du meinst sicherlich, wie du das Internet als IP-Adresse angibst? Einfach als 0.0.0.0/0, das schließt alle Adressen mit ein.
Würd ich allerdings nicht prinzipiell so machen. Gut, bei http und ftp ist ja nicht klar, wer der Partner ist, da hab ich es natürlich auch so drin. Wenn der Partner allerdings bekannt ist, wie z.B. zum Mailserver (smtp oder pop3) kann man auf Nummer sicher gehen und direkt die IP(s) des entsprechenden Servers reinstellen.
Klar, aber das war ja nicht die Frage. Andererseits kann man diese Angabe mit 0.0.0.0/0 letztendlich auch weglassen. Macht ja keinen Sinn mehr. -- Gruß MaxX 8-)
Hallo, Matthias Houdek schrieb:
Je nachdem, ob du Pakete in das Internet (z.B. Anfragen, Uploads) oder aus dem Internet (z.B. Seitenabruf, Downloads) kontrollieren willst und welche IP-Adresse du dahinter angibst (Zielrechner/-Netz oder Quellrechner/-Netz des Datenpaketes). Wenn du z.B. TCP-Port 80 (HTTP-Protokoll) in beide Richtungen uneingeschränkt für alle Quellen und Ziele freigeben willst, brauchst du auch beide nicht anzugeben.
[auf einem Cisco-Router sähe das wohl so aus:] Router(config)#access-list 101 permit tcp any any eq 80 ... (weitere Bedingungen) ... Router(config)#interface dialer1 Router(config-if)#ip access-group 101 in Router(config-if)#ip access-group 101 out Also macht iptables so etwas wie eine Access-Liste? Paketfilterung auf der Grundlage von Quell- und Zielnetzwerken bzw. -adressen, Wildcard-Masken und Ports? Gibt es dazu irgendwo ein HOWTO? In meinem SuSE Admin-Handbuch habe ich nur zwei Seiten über die SuSE Firewall gelesen. iptables: Fehlanzeige. Sich fragend am Kopf kratzend, Marcus
Hallo, Vor etwa einer Minute habe ich geschrieben:
Also macht iptables so etwas wie eine Access-Liste? Paketfilterung auf der Grundlage von Quell- und Zielnetzwerken bzw. -adressen, Wildcard-Masken und Ports?
Gibt es dazu irgendwo ein HOWTO? In meinem SuSE Admin-Handbuch habe ich nur zwei Seiten über die SuSE Firewall gelesen. iptables: Fehlanzeige.
Ich habe was gefunden: http://www.linuxfaq.de/f/cache/382.html http://www.pl-forum.de/t_netzwerk/iptables.html Grüße :-), Marcus
Hi, 0n 04/01/02@10:10 "Silvio Rönick" told me:
wie gebe ich bei den iptabels Regeln das Internet als -s oder -d an ? Habe DailonDemand auf einer ISDN Karte und zwei Internenetzte.
Ich nehme hier das device und gebe dann die ports an, so z.B.: ---cut--- INTIF=eth0 EXTIF=ippp0 TCP_SERVICES="22" # Trenner ist ein Komma ohne leer UDP_SERVICES="" IPT="/sbin/iptables" $IPT -A INPUT -i $EXTIF -m state --state NEW -p tcp -m multiport --dport $TCP_SERVICES -j ACCEPT ---cut--- -- bye maik
participants (5)
-
"Silvio Rönick" -
Maik Holtkamp -
Manfred Tremmel -
Marcus Glöder -
Matthias Houdek