fragen zu iptables

RaistlinMajere · 04.12.2005, 19:23

ich muß eine iptables-fw implementieren und hätte dazu einige fragen. anregungen habe ich mir teilweise von diversen seiten wie von der wcm linux-box genommen.

1.) ich hab ein verständisproblem bei traffic, der durch die FW durchgelassen werden soll.
in den meisten lösungen passiert dieser traffic die chain FORWARD. wenn ich also z.b. eine FW habe, die zwischen 2 subnetzen 60.0.0.0/24 und 160.0.0.0/24 liegt, hätte ich mMn z.b.

"lasse TCP-traffic aus dem subnetz 60.0.0.0/24 durch, der zu 160.0.0.0:1812 geht."

Code:

iptables -A FORWARD -p tcp -s 60.0.0.0/24 -d 160.0.0.10/24 --dport 1812 -j ACCEPT

richtig?

wenn ich mir aber z.b. diese seite ansehe, verstehe ich das so, daß die pakete, die die FW passieren dürfen, durch ROUTING durchmüssen. solche anweisungen finde ich aber in keinem bsp, wenns darum geht, traffic durchzulassen, weswegen ich vermute, daß ich da was nicht verstanden habe, wann man FORWARD und wann ROUTING verwenden muß.

2.) bei manchen regeln wird für die source und die destination eine bestimmte adresse oder ein subnetz angegeben. bei anderen hingegen wird angegeben, welches ein- bzw. ausgangsinterface verwendet werden muß, damit die regel zutrifft. macht das einen unterschied oder kann ich mich für eines von beidem entscheiden, je nach dem wie spezifisch meine regel sein muß?

3.) in vielen scripts (u.a. auch bei der wcm linux-box) ist mir aufgefallen, daß die anweisung

Code:

iptables -F

verwendet wird, um alle regeln zu flushen, danach aber noch öfter spezifische regeln nochmals geflusht werden. warum wird das gemacht, unter alle fallen doch auch diese spezifischen, oder, wozu also 2x?

4.) logging findet ja automatisch in die datei /var/log/syslog statt. ist es möglich, fürs logging eine eigene datei zu verwenden, um sie von sonstigen logs zu trennen?

vielen dank im voraus.

04.12.2005, 19:23	#1
RaistlinMajere Inventar Registriert seit: 06.04.2001 Alter: 44 Beiträge: 2.343	fragen zu iptables ich muß eine iptables-fw implementieren und hätte dazu einige fragen. anregungen habe ich mir teilweise von diversen seiten wie von der wcm linux-box genommen. 1.) ich hab ein verständisproblem bei traffic, der durch die FW durchgelassen werden soll. in den meisten lösungen passiert dieser traffic die chain FORWARD. wenn ich also z.b. eine FW habe, die zwischen 2 subnetzen 60.0.0.0/24 und 160.0.0.0/24 liegt, hätte ich mMn z.b. "lasse TCP-traffic aus dem subnetz 60.0.0.0/24 durch, der zu 160.0.0.0:1812 geht." Code: iptables -A FORWARD -p tcp -s 60.0.0.0/24 -d 160.0.0.10/24 --dport 1812 -j ACCEPT richtig? wenn ich mir aber z.b. diese seite ansehe, verstehe ich das so, daß die pakete, die die FW passieren dürfen, durch ROUTING durchmüssen. solche anweisungen finde ich aber in keinem bsp, wenns darum geht, traffic durchzulassen, weswegen ich vermute, daß ich da was nicht verstanden habe, wann man FORWARD und wann ROUTING verwenden muß. 2.) bei manchen regeln wird für die source und die destination eine bestimmte adresse oder ein subnetz angegeben. bei anderen hingegen wird angegeben, welches ein- bzw. ausgangsinterface verwendet werden muß, damit die regel zutrifft. macht das einen unterschied oder kann ich mich für eines von beidem entscheiden, je nach dem wie spezifisch meine regel sein muß? 3.) in vielen scripts (u.a. auch bei der wcm linux-box) ist mir aufgefallen, daß die anweisung Code: iptables -F verwendet wird, um alle regeln zu flushen, danach aber noch öfter spezifische regeln nochmals geflusht werden. warum wird das gemacht, unter alle fallen doch auch diese spezifischen, oder, wozu also 2x? 4.) logging findet ja automatisch in die datei /var/log/syslog statt. ist es möglich, fürs logging eine eigene datei zu verwenden, um sie von sonstigen logs zu trennen? vielen dank im voraus. ____________________________________ "Life is like a box of rockets," said the Marine. "You never know what you´re gonna ret." Then he pulled the trigger of his BFG9000.

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)