Diese Website existiert nur weil wir Werbung mit AdSense ausliefern.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.

iptables verstehen

Alles rund um das Internet, Internet-Anwendungen (E-Mail, Surfen, Cloud usw.) und das Einrichten von Netzwerken einschl. VPN unter Linux

Moderator: Moderatoren

Gesperrt
Benutzeravatar
r_heide
Newbie
Newbie
Beiträge: 37
Registriert: 16. Feb 2004, 10:03
Wohnort: 88400 Biberach
Kontaktdaten:

iptables verstehen

Beitrag von r_heide »

Hallo

Ich habe mit " iptables-save > datei " die von der Suse-FW generierten iptables angesehen und nur zum kleinen Teil verstanden. Die Datei wurde 168 Zeilen lang.

Nun hab ich 2 Fragen:
--> braucht es so große iptables, wenn man keinen Server betreibt ?
--> wenn ich die iptables jemals verstehen könnte und sie dann verkleinerte, kann die SuseFW dann noch damit umgehen?
Benutzeravatar
wenf
Hacker
Hacker
Beiträge: 422
Registriert: 8. Mär 2004, 11:23
Wohnort: ÖSI-Land
Kontaktdaten:

Beitrag von wenf »

mit iptables kann man dem Kernel sagen, dass er Pakete filtern soll

Source und Destination IP-Adresse sowie Port
eingehende und ausgehende Interfaces
und mit modulen sogar den Status einer Verbindung, Limits festlegen usw.

SuSE Firewall macht nichts anderes als die Kernelfilter mit iptables zu setzen

Eine Firewall kann nur so gut sein, wie derjenige, welcher die Firewall erstellt/einstellt und wartet.

Um ein guter FirewallAdmin zu sein, muß man sich im Netzwerk recht gut auskennen (IPAdressen Protokolle Ports Flags Fragmente usw.)

ich selber verwende die SuSE Firewall nicht, da ich mit meinen eigenen Scripten (in denen ich auch nur iptables aufrufe) wesentlich mehr und vorallem genauer einstellen kann .

wenn du sie verstehen willst und kannst - ist es besser seine eigene zu bauen.

" iptables-save > datei " erstellt nur ein abbild deiner IPTABLES - Listen mit iptables-restore kannst du sie dann wiederherstellen

habe es aber selbst noch nie Probiert.
Wie geasgt mache das mit meinen eigenen Scripten
Benutzeravatar
basman
Member
Member
Beiträge: 217
Registriert: 4. Jan 2004, 01:08

Re: iptables verstehen

Beitrag von basman »

r_heide hat geschrieben:Nun hab ich 2 Fragen:
--> braucht es so große iptables, wenn man keinen Server betreibt ?
Nein. Eigentlich reichen zwei Regeln:
  1. Maskiere ausgehende Verbindungen

    Code: Alles auswählen

    iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
  2. Lehne von aussen kommende Verbindungen ab

    Code: Alles auswählen

    iptables -t nat -A PREROUTING -i ppp0 -m state --state NEW,INVALID -j DROP
Alles weitere ist Luxus (z.b. Port-Forwarding nach innen für P2P-Netze, Stichwort DNAT) oder Kosmetik (z.B. Logmeldungen für abgelehnte Verbindungen, Stichwort -j LOG) oder gar paranoid (z.B. Anti-IP-Spoofing-Regeln, was der Kernel zum Teil selbst erledigen kann. Stichwort /proc/sys/net/ipv4/conf/all/rp_filter).
r_heide hat geschrieben:--> wenn ich die iptables jemals verstehen könnte und sie dann verkleinerte, kann die SuseFW dann noch damit umgehen?
Nein. Denn die SuSE-Fw erstellt die Regelsammlung mit Shell-Scripten. Das ist ein irreversibler Prozess. Erläuterung: In den Regeln (sichtbar durch iptables-save) stehen Ip-Adressen von Interfaces, die in den Shell-Skripts als Variablen gehandhabt werden. Man kann mathematisch/logisch aus den Iptables-Regeln kein eindeutiges Shell-Script erzeugen, welches die Adressen intelligent gruppiert. Das ist, wie wenn man aus Maschinen-Code wieder VisualBasic-Zeilen erhalten möchte.
Benutzeravatar
r_heide
Newbie
Newbie
Beiträge: 37
Registriert: 16. Feb 2004, 10:03
Wohnort: 88400 Biberach
Kontaktdaten:

Beitrag von r_heide »

Danke für die Auskunft.
Gesperrt