iptables on fire

[zer0]

Hallo Forum,

Da ich firewall tools die irgentwelche blöden iptables einträge machen satt habe. Möchte ich gerne mein eines Firewall script mit iptables erstellen.

Ich hab mich deshalb schon ein wenig in iptables eingearbeitet aber es gitb da ein paar dinge die man immer irgentwie anderes hört oder die ich einfach nicht kapiere...

Also wenn ich es richtig verstanden habe dann lauft ein iptabls script von oben nach unten ab.
Das heißt das die letzte regel würde wenn sie zum beispiel
iptables -A INPUT -j DROP
heißen würde alles verbieten wenn sie am ende steht, egal welche spezialfälle vorher erlaubt wurden.

Aber wie is as jetzt wenn man iptables in der shell eingiebt.
Wird der eintrag dann am "anfang" oder am "ende" gemacht?

Dann hab ich da noch ein kleines problem mit dem DNAT
Nehmen wir an man möchte alle anfragen die an eine bestimmten ipadressbereich gerichtet sind auf eine andere ip weiterleiten. (Ich weiß da wäre ein routing eintrag sinnvoller... aber sagen wir ich will es hald mit iptables machen)

Dieser bestimmte adressbereich ist z.B: 192.168.30.0
Und die adresse an die das alles gehen soll sei: 192.168.10.210

Meiner meinung nach müsste der eintrag so lauten:

Code:

iptables -t nat -A PREROUTING -d 192.168.30.0/24 -j DNAT --to-destination 192.168.10.210

Nachdem ich die regel eingegeben habe kommt kein fehler irgentwie haut da was nicht hin...
Ist die Regel ansich richtig?

Wenn das ganze script hinhaut so wie ich mir das vorstelle, vielleicht poste ich es dann mal.

Vielen Dank im Foraus
zer0

[gaelic]

Zitat:

Original geschrieben von zer0

Also wenn ich es richtig verstanden habe dann lauft ein iptabls script von oben nach unten ab.
Das heißt das die letzte regel würde wenn sie zum beispiel
iptables -A INPUT -j DROP
heißen würde alles verbieten wenn sie am ende steht, egal welche spezialfälle vorher erlaubt wurden.

zer0 [/b]

ja

Zitat:

Original geschrieben von zer0

Aber wie is as jetzt wenn man iptables in der shell eingiebt.
Wird der eintrag dann am "anfang" oder am "ende" gemacht?


zer0 [/b]

genauso wie das script arbeitest du auch in der shell "von oben nach unten" die befehle ab. --> also am ende

wegen dnat. ka.

mach einen routing eintrag

[zer0]

THX @gaelic erstmal..

Die Sache wird mir schon klarer..
Ich glaub jetzt weiß ich auch warum mein DNAT eintrag (rule) alleine nichts bewirkt,
weil der dazugehörige filter fehlt.

Vielleicht verwechsele ich da auch was aber fakt ist wenn ich diesen eintrag ebenfalls setzte haut die sache hin:

Code:

iptables -A FORWARD -d 192.168.10.210 -j ACCEPT

Stimmt das so was ich über regeln und filter gesagt aber oder war das bullshit.. weil ganz hab ichs glaub ich noch immer nicht raus

[frankenheimer]

iptables -I (Insert) -> Am Amnfang.
-A (Add).

[zer0]

Zitat:

Schau dir doch die Manpage an !

1 Euro für jedes mal wenn ich die anschaue... das wär schön
Aber so ein bissel man page komentar erstetz keine deutschsprachige erklärung.(von mir aus darfs auch eine gute erklärung in englisch sein)

Ach ja wenn wir schon dabei sind, kennt wer ein paar gute quellen im Internet zum thema iptables?

[Sloter]

http://www.netfilter.org/

[K@sperl]

Die mit Abstand beste Website mit HowTos zum Thema iptables:
http://www.linuxguruz.com/iptables/

[SNo0py]

Also ich kann das Script (den ganzen Artikel auch!) von Gentoo empfehlen:
http://www.gentoo.org/doc/en/gentoo-...xml#doc_chap13

Das Script ein wenig anpassen und es läuft schon!