Ich bin dabei mir eine kleine Firewall mit iptables zu "bauen".
Ich möchte das iptables alle Ports schließt.

#iptables -A INPUT -i ippp0 -j DENY
Nun möchte ich die Ports, die benötigt werden, nach und nach öffnen.

#iptables -A INPUT -i ippp0 -p tcp -dport 80 -j ACCEPT
Jedoch geht das nicht wie ich will..... kann mir bitte jemand helfen?

EDIT: Kennt / hat von euch vieleicht jemand eine Firewall die besser und einfacher zu Konfiguriern ist?

hallo!

bei iptables gilt immer die erste passene regel, wenn du oben alles sperrst, dann kannst unten erlauben was willst, da kommt nix durch.
http://www.netfilter.org/

//richard

Hmmm.... aber ich kann doch nicht jetzt fast 50000 Prots alle einzeln sperren.
Da muss es doch noch was anderes geben.

Original geschrieben von TuXic
Hmmm.... aber ich kann doch nicht jetzt fast 50000 Prots alle einzeln sperren.
Da muss es doch noch was anderes geben.
hallo!

ja, du könntest die docu lesen!

//richard

Der Richard scheint heute nicht ganz fit zu sein.
Alle Regeln werden von oben nach unten abgearbeitet. Wenn Du also oben alles sperrst kannst du sehrwohl unten wieder einzelne Dienste freigeben.


$IPTABLES -A INPUT -p -i ipp0 tcp --dport 80 -j ACCEPT
$IPTABLES -A OUTPUT -i ipp0 -p tcp --sport 80 -j ACCEPT


CoolTux

Original geschrieben von CoolTux
Der Richard scheint heute nicht ganz fit zu sein.

hallo!

was soll das heissen?!
nur weil ich keine manpages vorlesen will...

//richard

Nein. Sondern das Deine Aussage falsch war. Nur wollte ich das so hart nicht sagen.
Nicht gleich immer bös werden ;)



CoolTux

Original geschrieben von CoolTux
Nein. Sondern das Deine Aussage falsch war. Nur wollte ich das so hart nicht sagen.
Nicht gleich immer bös werden ;)



CoolTux
hallo!

warum soll meine aussage falsch sein?
iptables geht immer nach der ersten regel, genau wie cisco.
zb: bei openbsd ist es immer die letzte passende regel.

//richard

Also so weit ich weiß geht der Kernel die Regeln von oben nach unten durch, um das mal Bildlich zu sagen. Also kann sehrwohl ein Verbot duch ein später im Script gegebene Erlaubniss wieder aufgehoben werden
Die Gesamtheit aller Regeln einer Regelliste wird chain (engl. für Kette) genannt. Die einzelnen Regeln entsprechen den Gliedern der Kette. Jedes Paket wird der Reihenfolge nach mit jeder Regel verglichen, bis eine Übereinstimmung gefunden wird oder die chain zu Ende ist.
Jede chain hat eine default policy. Wenn ein Paket mit keiner der Regeln in der chain übereinstimmt oder die chain zu Ende ist, tritt die default policy in Kraft.

EDIT:
Ok ok ich gebe mich geschlagen. Ich dachte die Verbotsregel wäre eine default Police ist sie aber nicht, also springt er nach der Verbotsregel raus und prüft die Regelkette nicht weiter.
Sorry. Hab nicht richtig hingesehen.
Nicht böse sein :D





CoolTux:D :D

Original geschrieben von CoolTux
Also so weit ich weiß geht der Kernel die Regeln von oben nach unten durch, um das mal Bildlich zu sagen. Also kann sehrwohl ein Verbot duch ein später im Script gegebene Erlaubniss wieder aufgehoben werden


CoolTux
hallo!

sicher geht der netfilter von oben nach unten durch, aber er geht nur bis zur ersten passenden regel.
wenn du ``iptables -P'' machst, dann ist das keine regel, sondern nur die chain, die augerufen werden soll, wenn nix passendes gefunden wurde.

//richard

OK habe ja oben ein EDIT gesetzt da steht es drin.


CollTux

Original geschrieben von derRichard
hallo!

ja, du könntest die docu lesen!

//richard

Also ich glaube langsam das ihr alle Englisch studiert habt.
Ich bin sicherlich net der Englisch-King.

Wieso zieht ihr euch überhaupt so an den Manpages auf ? :rolleyes:
Ich habe nur eine simple Frage gestelt und möchte eine einfache Antwort mit einer Lösung - die Manpages braucht (ihr) nicht im Forum zu verewigen.
Außerdem frage ich nur wenn ich nicht mehr weiterweis.


Der Lerher sagt auch nicht: "Such dir die Lösung im Internet..."

Setze am Anfang die Default Polices auf DROP und später erlaubst du dann http über ipp0 Interface.




CoolTux

Danke :)