iptables conntrack Problem (War: Webserver Kräscht)

Frank Matthiess frankm at lug-owl.de
Sa Apr 7 13:38:02 CEST 2007


* Support TEAM, Martin Bökenkamp <connectnet at web.de> [2007-04-03 17:13]:
> >Die frage stellt sich warum du connection tracking auf deinem webserver
> >machst ?!?
> 
> Ich habe mir die Firewall-Regeln zusenden lassen von hier->  
> http://www.harry.homelinux.org/
> # Connection-Tracking aktivieren
> iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> war vorgegeben.

Hm. Wozu sind diese beiden iptables Regeln gut?
Wenn Du doch alles durchläßt (INPUT, OUTPUT) dann kannst Du es auch
gleich mit iptables -P INPUT ACCEPT bzw iptables -P OUTPUT ACCEPT
durchlassen, was aber der iptables Standard ist.

Zur Erklärung: 

1. "iptables -A OUTPUT"
   Die Regel wird an die OUTPUT Standard Chain angehängt.

2. "-m state" nutzt das netfilter Modul contrack.
3. "--state NEW,ESTABLISHED,RELATED" trifft auf alle Verbindungen zu die
    a. "NEW":  neu sind,
	b. "ESTABLISHED": zu einer bereits laufenden Verbindung gehören,
	c. "RELATED": oder mit dieser in Verbindung stehen (z.B. FTP)

Das gleiche machst Du mit INPUT. Wie Du der Erklärung entnehmen kannst
ist das kein Filter der irgendetwas blockt. 

Anmerkung: Warum vertraust Du einem Firewallscript das Du nicht
ansatzweise verstehst? 

Ich möchte Dir zwei Links an Herz legen. Der zweite Link("iptables
tutorial", Oskar Andreasson) ist eines des besten Texte die sich zu
iptables/netfilter gelesen habe

[1] http://www.netfilter.org/documentation/index.html
[2] http://iptables-tutorial.frozentux.net/


Frank.
-- 
Frank Matthieß

"Dunkel die andere Seite ist...sehr dunkel..."
"Ach halts Maul Yoda, und iss endlich deinen Toast!"
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-signature
Dateigröße  : 189 bytes
Beschreibung: Digital signature
URL         : http://lug-owl.de/pipermail/lugrav/attachments/20070407/317803d8/attachment.pgp