PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Forward-Regeln!?



-As-
30.10.07, 01:12
Habe da noch ein paar Probleme und sitze schon seit Stunden dran:

beim spielen von UT bemerkte ich dass er sich problemlos connecten kann. was er aber eigentlich nicht soll, denn der UT-Port liegt außerhalb der Definitionen.

Ein tiefer Blick in die Firewall brachte folgende Frage auf:

iptables -A FORWARD -o ppp0 -p ALL -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -o eth0 -p ALL -m state --state ESTABLISHED,RELATED -j ACCEPT

öffnet das nich schon alles und macht "LAN2NET" wirkungslos?




Anm.: Die Policy für Forward, Input und Output sind DROP!!**

LAN2NET="21 20 80 443 53"
NET2LAN=""

# Nun folgen Regeln um das LAN ins internet zu bringen. Dies geschiet
# AUSSCHLIEßLICH über die FORWARD-chain. -o Gerät definiert,
# ob es rauswärts oder reinwärts geht.
iptables -A FORWARD -o ppp0 -p ALL -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -o eth0 -p ALL -m state --state ESTABLISHED,RELATED -j ACCEPT


for port in $LAN2NET; do
iptables -A FORWARD -o ppp0 -p tcp --sport $port -j ACCEPT
iptables -A FORWARD -o ppp0 -p udp --sport $port -j ACCEPT
echo "lan2net: TCP-UDP SPort $port on ppp0 allowed"
done
for port in $NET2LAN; do
for NIC in $NICs2LAN; do
iptables -A FORWARD -o eth0 -p tcp --sport $port -j ACCEPT
iptables -A FORWARD -o eth0 -p udp --sport $port -j ACCEPT
echo "net2lan: TCP-UDP SPort $port on eth0 allowed"
done
done

ende der forward regeln


hoffe jemand kann mir helfen! habe echt null plan mehr und geh jez ins bett!!!

danke!

Thorashh
30.10.07, 05:12
iptables -A FORWARD -o ppp0 -p ALL -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -o eth0 -p ALL -m state --state ESTABLISHED,RELATED -j ACCEPT Damit erlaubst Du alle ausgehenden Verbindungen (NEW in Zeile 1) und die dazugehörenden eingehenden Verbindungen. Alle Einschränkungen, die danach folgen bleiben deshalb wirkungslos.

-As-
30.10.07, 10:07
Danke!

wurde gestern doch noch sehr spät!

ich möchte gerne dass ich jeden port einzeln freigeben muss!

dass heisst ich müsste die erste zeile löschen und kann die 2. drinn lassen, dann brauch eich nur noch den --dport angeben? zb so:


iptables -A FORWARD -o eth0 -p ALL -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -o ppp0 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -o ppp0 -p tcp --dport 80 -j ACCEPT



macht das so sinn?

mfg alex