iptables conntrack Problem (War: Webserver Kräscht)
Maximilian Wilhelm
max at rfc2324.org
Mo Apr 9 00:36:23 CEST 2007
Am Saturday, den 7 April hub Frank Matthiess folgendes in die Tasten:
> > Ich habe mir die Firewall-Regeln zusenden lassen von hier->
> > http://www.harry.homelinux.org/
> > # Connection-Tracking aktivieren
> > iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
~~~
> > iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
~~
> > war vorgegeben.
> Hm. Wozu sind diese beiden iptables Regeln gut?
> Wenn Du doch alles durchläßt (INPUT, OUTPUT) dann kannst Du es auch
> gleich mit iptables -P INPUT ACCEPT bzw iptables -P OUTPUT ACCEPT
> durchlassen, was aber der iptables Standard ist.
> Zur Erklärung:
> 1. "iptables -A OUTPUT"
> Die Regel wird an die OUTPUT Standard Chain angehängt.
> 2. "-m state" nutzt das netfilter Modul contrack.
> 3. "--state NEW,ESTABLISHED,RELATED" trifft auf alle Verbindungen zu die
> a. "NEW": neu sind,
> b. "ESTABLISHED": zu einer bereits laufenden Verbindung gehören,
> c. "RELATED": oder mit dieser in Verbindung stehen (z.B. FTP)
bzw. udp traffic.
> Das gleiche machst Du mit INPUT. Wie Du der Erklärung entnehmen kannst
> ist das kein Filter der irgendetwas blockt.
Stimmt nicht. Da steht kein NEW.
Diese Regel ist generell erstmal sinnvoll!
> Anmerkung: Warum vertraust Du einem Firewallscript das Du nicht
> ansatzweise verstehst?
Das ist eine sehr gute Frage!
Ciao
Max
--
Follow the white penguin.