iptables ??

[NasenBär]

hy!

hab einen linux rechner in meinem netzwerk, dass mit einem router ans internet angebunden ist.
wenn ich nun für den zugriff vom internet auf den linux-rechner die notwendigen ports weiterleite, wie ist dann die konfiguration von iptables notwendig bzw. am sinvollsten?

mfg

[Moose]

http://www.ibiblio.org/pub/Linux/doc...ple-HOWTO.html

ich habs so gemacht, und funzt.

[Moose]

Ah und ich hab das Script (war vordefiniert *schäm*):

## Kette erstellen, die neue Verbindung blockt, es sei denn, sie kommen
## von innen
iptables -N block
iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A block -m state --state NEW -i ! ippp0 -j ACCEPT
iptables -A block -j DROP

## Von INPUT und FORWARD Ketten zu dieser Kette springen
iptables -A INPUT -j block
iptables -A FORWARD -j block


statt ippp0 mußt h alt das Einsetzen das bei Dir stimmt.

[NasenBär]

hy!

weiß nicht, ob die frage richtig verstanden wurde!

wenn ich bei meinem hardware-router z.B. den port 22(ssh) weiterleite auf den linux-rechner, wie nimmt dieser das paket wahr?

A) sieht er, dass es vom eigenen netz kommt? z.b. 192.168.1.1
oder
B) sieht er, dass es von der eigenen internetadresse kommt?
oder
c) sieht er von welchen rechner das paket wirklich kommt?

und
stimmt es, dass das paket in der INPUT regel zu behandeln ist?

hoffe mich diesmal etwas genauer ausgedrückt zu haben!

mfg

[Sloter]

Der Linuxdose ist es egal von wo das Paket kommt und per SSH eine Verbindung aufbaut.

Die Firewall regelt welche Pakete rein und raus dürfen und so zu deinem Linuxrechner wandern.
Du kannst aber direkt auf der Linuxmaschine noch Zugriffsregeln einrichten.
host deny und host allow.
Dann kannst du bestimmen das der Zugriff z.B nur von der localen IP oder einer bestimmten IP erfolgen darf (kannst du aber schon auf der Firewall regeln).
Interne Pakete aus deinem eigenen Netz, wandern nicht über die Firewall sondern eine Verbindung wird direkt aufgebaut.


Wenn du der Firewall sagst das sie Pakete auf Port 22 annehmen soll und weiterleiten soll, hat die Linuxmaschine keine Einwände mehr.

Sloter

[NasenBär]

hy!

erstmals danke für die antworten!

würdet ihr dann nur mehr mit hostdeny und hostallow alles regeln und bei iptables alles auf accept stellen?
bzw.
wie sollte der inhalt von iptables dann sinnvoller weise aussehen?

@sloter

Zitat:

Interne Pakete aus deinem eigenen Netz, wandern nicht über die Firewall sondern eine Verbindung wird direkt aufgebaut.

meinst du damit alle pakete, die auf dem linux-rechner selbst erzeugt werden oder meinst du dass alle pakete von allen heimrechner einfach akzeptiert werden?
zweiteres würde mir aber etwas komisch vorkommen!

mfg

[Sloter]

Die Pakete vom irnterne Netzwerk laufen nicht über die Firewall.
Also werden sie nicht gefiltert.

Überleg mal wie der Verbindungsaufbau erfolgt?
Der Client sucht anhand der IP (vereinfacht ausgedrückt) seinen Partner.
Der meldet sich aus dem eigenen Netzwerk und dann wird direkt die Verbindung aufgebaut.
Die Firewall regelt ja nur den Verkehr von innen nach aussen und umgekehrt.
Interner Traffic interressiert die Firewall nicht.

Sloter

[NasenBär]

hy!

bin verwirrt!

das heisst all anfragen vom eigenen netz (z.B. 192.168.0 - 255) auf einen dienst (samba, ssh usw.) unterliegen nicht den regeln von iptables?

ist das so richtig?

mfg

[Moose]

IMHO ja

[NasenBär]

hy!

meint ihr eh nicht, dass der linux-rechner der router ist!?
router ist der netgear rp114!

hab nämlich wie ich den samba aufsetzte bemerkt, dass iptables nicht alles durchlies vom eigenen netz! erst als ich iptables umschrieb funktionierte der zugriff!
oder lag es an was anderen?

vielleicht sind meine fragen ja doof, aber habt halt nachsicht mit einem anfänger!

mfg