• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

iptables verstehen

Status
Für weitere Antworten geschlossen.

r_heide

Newbie
Hallo

Ich habe mit " iptables-save > datei " die von der Suse-FW generierten iptables angesehen und nur zum kleinen Teil verstanden. Die Datei wurde 168 Zeilen lang.

Nun hab ich 2 Fragen:
--> braucht es so große iptables, wenn man keinen Server betreibt ?
--> wenn ich die iptables jemals verstehen könnte und sie dann verkleinerte, kann die SuseFW dann noch damit umgehen?
 

wenf

Hacker
mit iptables kann man dem Kernel sagen, dass er Pakete filtern soll

Source und Destination IP-Adresse sowie Port
eingehende und ausgehende Interfaces
und mit modulen sogar den Status einer Verbindung, Limits festlegen usw.

SuSE Firewall macht nichts anderes als die Kernelfilter mit iptables zu setzen

Eine Firewall kann nur so gut sein, wie derjenige, welcher die Firewall erstellt/einstellt und wartet.

Um ein guter FirewallAdmin zu sein, muß man sich im Netzwerk recht gut auskennen (IPAdressen Protokolle Ports Flags Fragmente usw.)

ich selber verwende die SuSE Firewall nicht, da ich mit meinen eigenen Scripten (in denen ich auch nur iptables aufrufe) wesentlich mehr und vorallem genauer einstellen kann .

wenn du sie verstehen willst und kannst - ist es besser seine eigene zu bauen.

" iptables-save > datei " erstellt nur ein abbild deiner IPTABLES - Listen mit iptables-restore kannst du sie dann wiederherstellen

habe es aber selbst noch nie Probiert.
Wie geasgt mache das mit meinen eigenen Scripten
 

basman

Member
r_heide schrieb:
Nun hab ich 2 Fragen:
--> braucht es so große iptables, wenn man keinen Server betreibt ?
Nein. Eigentlich reichen zwei Regeln:
  1. Maskiere ausgehende Verbindungen
    Code:
    iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
  2. Lehne von aussen kommende Verbindungen ab
    Code:
    iptables -t nat -A PREROUTING -i ppp0 -m state --state NEW,INVALID -j DROP
Alles weitere ist Luxus (z.b. Port-Forwarding nach innen für P2P-Netze, Stichwort DNAT) oder Kosmetik (z.B. Logmeldungen für abgelehnte Verbindungen, Stichwort -j LOG) oder gar paranoid (z.B. Anti-IP-Spoofing-Regeln, was der Kernel zum Teil selbst erledigen kann. Stichwort /proc/sys/net/ipv4/conf/all/rp_filter).
r_heide schrieb:
--> wenn ich die iptables jemals verstehen könnte und sie dann verkleinerte, kann die SuseFW dann noch damit umgehen?
Nein. Denn die SuSE-Fw erstellt die Regelsammlung mit Shell-Scripten. Das ist ein irreversibler Prozess. Erläuterung: In den Regeln (sichtbar durch iptables-save) stehen Ip-Adressen von Interfaces, die in den Shell-Skripts als Variablen gehandhabt werden. Man kann mathematisch/logisch aus den Iptables-Regeln kein eindeutiges Shell-Script erzeugen, welches die Adressen intelligent gruppiert. Das ist, wie wenn man aus Maschinen-Code wieder VisualBasic-Zeilen erhalten möchte.
 
Status
Für weitere Antworten geschlossen.
Oben