ich habe ein verständnissproblem zur reihenfolge der interfaces bei einer internetverbindung (tdsl). hab 2 netzwerkkarten (eth0,eth1) und an eth1 hängt das dsl-modem. wenn ich eine verbindung aufbaue, wird ein neues interface "ppp0" erstellt, das dann mit der gegenstelle im internet kommuniziert. soweit ist alles klar. aber in welcher reihenfolge durchlaufen jetzt meine pakete den rechner wenn ich z.b. darauf surfe?
so: ppp0 -> eth1 -> internet
oder eth1 -> ppp0 -> internet

???

oder ist ppp0 ein alias für eth1 wenn die verbindung up ist?
:confused:

die schnittstelle ppp0 greift auf die hardware von eth1 zuerueck. ppp0 ist somit eth1, ausser du definierst fuer eth1 auch eine ipadresse, dann benutzt das modem nur die hardware der netzwerkkarte

joey

Internet--->eth1--->ppp0

ppp0 is ein Protokoll-rahmen in dem die daten für das inet enthalten sind.(auf die einzelnen Paketen bezogen)
diese Pakete wandern dann duch eth1 ins inet.

Net-data|ppp-data|nutzdaten

ok, dann gehen die daten in jedem fall zuletzt/zuerst durch eth1.
dann kann ich in meinem firewall-script schreiben:
iptables -INPUT -i ppp0 -j ACCEPT
iptables -FORWARD -i ppp0 -j ACCEPT
iptables -OUTPUT -o ppp0 -j ACCEPT

und brauch dann nur eth1 richtig zu konfigurieren und alles ist sicher,oder?

ich verstehe dein problem nicht, du machst dsa alles seehr umstaendlich.

du hast 2 physikalische interfaces eth0 und eth1. durch eth1 nimmt dein rechner ueber das ppp0 verbindung mit dem internet auf. das heisst, dass die Daten vom internet komplett durch eth1 gehen, das wiederum heisst, dass du bei deinen iptables eth1 als internetinferface behandeln musst.

eine regel, die in allen drei ketten accecpt stehen hat, ist unsinn, dann brauchst du garnkeine.

was hast du bei dir fuer dienste, die nach aussen offen sein muessen?

joey

wiso umständlich? wenn ich regeln für eth1 definiere, muss ich vorher ppp0 freischalten, da sonst nichts in den rechner reinkommt oder?
alles auf accept bedeutet nur, das wenn keine meiner nachfolgenden regeln zutrifft, das paket passieren darf.

@joey.brunner
durch eth1 nimmt dein rechner ueber das ppp0 verbindung mit dem internet auf. das heisst, dass die Daten vom internet komplett durch eth1 gehen, dass du bei deinen iptables eth1 als internetinferface behandeln musst. das ist falsch. ppp0 ist das "logische" Internet-Device. Alle ein und ausgehenden IP-Pakete liegen hier an. Die IP-Pakete werden in ppp Pakete gesteckt, die wiederum in ein Ethernet Paket gesteckt werden (PPPoE= PPP over Ethernet). Dementsprechend muss ppp0 als Filter angegeben werden.

@tenim

wenn ich regeln für eth1 definiere, muss ich vorher ppp0 freischalten, da sonst nichts in den rechner reinkommt oder? Du musst das freischalten, was reinkommen darf.

alles auf accept bedeutet nur, das wenn keine meiner nachfolgenden regeln zutrifft, das paket passieren darf. Stimmt wenn keine deiner Regeln zutrifft, gilt diese Regeln, allerdings ist die Wahrscheinliochkeit größer, dass du dabei etwas übersiehst höher und auch gefährlicher.

Schau auch mal den Generator an: http://harry.homelinux.org

also gehen die einkommenden pakete nicht zuerst durch eth1?

Doch, nur sind es zu diesem Zeitpunkt noch keine IP-Pakete sondern ppp-Pakete. IP-Pakete liegen erst am ppp0-Device an.

ich muss dann aber eth1 mittels

iptables -input -i eth1 -j accept

freischalten damit die pakete überhaupt zu ppp0 kommen, oder nicht? oder brauche ich das nicht extra, weil iptables nur ip-pakete verstehen kann und eth1 garnicht berücksichtigt?
sorry, aber das sind für mich grundsatzfragen um überhaupt ansatzweise verstehen zu können.

Wie ich bereits schrieb: Es sind noch keine IP-akete, wenn sie an eth1 ankommen => du kannst mittels iptables auch nix filtern. Gefiltert wird an ppp0!

danke, habs verstanden. dann fang ich an, mir ein firewall-script zu schreiben.
:)