iptables conntrack Problem (War: Webserver Kräscht)
Frank Matthiess
frankm at lug-owl.de
Mo Apr 9 09:57:12 CEST 2007
* Maximilian Wilhelm <max at rfc2324.org> [2007-04-09 00:36]:
> Am Saturday, den 7 April hub Frank Matthiess folgendes in die Tasten:
>
> > Hm. Wozu sind diese beiden iptables Regeln gut?
> > Wenn Du doch alles durchläßt (INPUT, OUTPUT) dann kannst Du es auch
> > gleich mit iptables -P INPUT ACCEPT bzw iptables -P OUTPUT ACCEPT
> > durchlassen, was aber der iptables Standard ist.
>
> > Zur Erklärung:
>
> > 1. "iptables -A OUTPUT"
> > Die Regel wird an die OUTPUT Standard Chain angehängt.
>
> > 2. "-m state" nutzt das netfilter Modul contrack.
>
> > 3. "--state NEW,ESTABLISHED,RELATED" trifft auf alle Verbindungen zu die
> > a. "NEW": neu sind,
> > b. "ESTABLISHED": zu einer bereits laufenden Verbindung gehören,
> > c. "RELATED": oder mit dieser in Verbindung stehen (z.B. FTP)
>
> bzw. udp traffic.
Yep.
>
> > Das gleiche machst Du mit INPUT. Wie Du der Erklärung entnehmen kannst
> > ist das kein Filter der irgendetwas blockt.
>
> Stimmt nicht. Da steht kein NEW.
Oops.
> Diese Regel ist generell erstmal sinnvoll!
Ja, aber nur im Zusammenhang mit ACCEPT Regelen die darauf folgen.
Die habe ich im Posting nicht gesehen.
>
> > Anmerkung: Warum vertraust Du einem Firewallscript das Du nicht
> > ansatzweise verstehst?
>
> Das ist eine sehr gute Frage!
Danke, Max dann habe ich ich mich ja nicht vollends blamiert.
Frank.
--
Frank Matthieß
sigfault
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : nicht verfügbar
Dateityp : application/pgp-signature
Dateigröße : 189 bytes
Beschreibung: Digital signature
URL : http://lug-owl.de/pipermail/lugrav/attachments/20070409/a9226636/attachment.pgp