Verwirrung um iptables

So da ich mal wieder etwas zeit über habe, habe ich mal damit begonnen einen Paktetfilter für meine Debian 3.1(mit 2.6.x) Kernel

Also habe ich

1. die Policy Für den input table von ACCEPT auf DROP gesetzt
2. dann habe ichfür den UDP port 53( DNS) eine regel mit ACCEPT erstellt

3. jetzt kann ich zwar alles mit Destiationsport 80 durchlassen
ich will aber lieber queue verwenden also alle pakete in eine Warteschlange packen und dann mit z.b. mit Firefox( und zwar nur damit) nutzen

nur weis ich nicht wie `?

vieleicht könnt ihr mir ja helfen?

Also im Moment ist deine Firewall ziemlich wirr. Alles darf vermutlich raus, aber nur auf Port 53 wieder rein. Surfen kannst Du damit nicht, da Du zwar einen Server auf Port 80 (http) anfragen darfst, die Antwort des Servers wird aber von der Firewall gekillt. Port 53 ist für DNS. Auf diesem Port hört ein Server auf Anfragen. Solange Du auf deinem PC keinen DNS Server laufen hast kann der Port zu bleiben.

Iptables kann man nicht auf ein Programm anwenden. Es gibt zwar die Owner Erweiterung, aber die bezieht sich meines Wissens auf den Benutzer der den Prozess gestartet hat, nicht auf das Programm. Wenn Du willst das man nur mit Firefox surfen kann musst Du eine Proxy aufsetzen der nur Firefox durchlässt. Aber das ist auch nicht hunderprozentig sicher, denn die Browserkennung kann man ganz leicht fälschen.

Und was meinst Du mit Queue? Pakete in eine Queue setzen und dann mit Firefox nutzen? Ein Programm erzeugt ein Paket, die liegen nicht auf Vorrat rum. Bitte erklär' wie Du das gemeint hast.


Ein Tipp: http://iptables-tutorial.frozentux.net/

OK Sorry erstmal für dieses verwirrende Posting hab mich eben grade erst eingelesen und hate mich bisher noch nicht damit auseinander gesetzt

Also ich will zuerst ein Mal nur mit einem Webbrowser surfen können und alles andere
Verbieten. Allerdings sollen eingehende ip-packete nur weitergeleitet werden wenn ich vorher zu der ip eine Verbindung aufgebaut habe

also tippe ich
iptables – P INPUT DROP
iptables – P FORWARD DROP
iptables – P OUTPUT DROP

iptables –A OUTPUT -d “der Router(ist auch der dns)“ –p udp –-dport 53 –j ACCEPT
iptables –A OUTPUT –p TCP –-dport 80 –j ACCEPT

iptables –A INPUT -s “der Router(ist auch der dns)“ –p udp -m state –-state ESTABLISHED,RELATED –j ACCEPT
iptables –A INPUT –p tcp –-sport80 -m state –state ESTABLISHED,RELATED –j ACCEPT

Kann ich das so machen oder hab ich einen Fehler gemacht?

Vor allem will ich wissen ob ich ip_state richtig benutzt habe?

achja und dieser queue kram habe ich wohl komplett falsch verstanden hatte eine auf einer seite gelesen das wenn man als target Queue Angibt entscheiden kann zu welchen Prozess das Paket gelangt das hallte ich aber mittlerweile für ein Gerücht

so hab jetzt mein firewall Skript jetzt fertig und nach /etc/init.d/ verschoben

weis jemand in welchen Runlevels das ding gestartet bzw gestoppt werden sollte?

ich denke an besten nach dem starten von eth0 aber vor dem hochfahren des loopbacks oder?

oder hat jemand vielleicht eine brauchbaren link zum tehma Runlevel???

wäre schön wenn ihr mir helfen würdet ich bin ein absoluter Anfänger was linux/unix angeht