• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

wir lernen routing mit iptables

wenf

Hacker
was ich von deinem script -halte:

# ports/protokolle nur fuers surfen.
iptables -A FORWARD -p tcp --sport 80 --dport 80 -j ACCEPT;
iptables -A FORWARD -p udp --sport 80 --dport 80 -j ACCEPT;

das ist nicht was du willst *gg*
sport ist 1024-65355 dann stimmts

# ports/protokolle nur fuer ftp.
iptables -A FORWARD -p tcp --sport 20 --dport 20 -j ACCEPT;
iptables -A FORWARD -p udp --sport 20 --dport 20 -j ACCEPT;
iptables -A FORWARD -p tcp --sport 21 --dport 21 -j ACCEPT;
iptables -A FORWARD -p udp --sport 21 --dport 21 -j ACCEPT;

lasse FTP mal weg - das ist alles andere als einfach *gg*
passives ftp hat andere Verbindungen als aktives FTP

versuche zuerst mal einfache protokolle wie http zu verstehen,
wenn du das kannst gehen wir in die Advanced klasse ALIAS FTP
 

framp

Moderator
Teammitglied
An meinem Router/Firewall sitzen 3 NICs. Eines ist das Internet NIC, eines zu meinem HomeNW und eines zu meinem Accesspoint.
HomeNW & IN habe ich mit SuSEFW konfiguriert.
Dann gibt es noch einen Exit in /etc/sysconfig/scripts/SuSEconfig oder so aehnlich. Dort habe ich dier AP rules reingestellt als Extension und alles funtz prima.

Also SuSEWF fuer das komplizierte und SuSEconfig fuer die einfachen Faelle.
 
OP
captain nemo

captain nemo

Member
@framp ist ja alles schoen und gut aber wir wollen uns einfach mal mit iptables beschaeftigen und dabei gleich noch was lernen/anderen ne grundlage zum lernen geben.
 

framp

Moderator
Teammitglied
captain nemo schrieb:
wir wollen uns einfach mal mit iptables beschaeftigen
Learing by doing - genau das denke ich auch. Allerdings sollte man klein anfangen und das geht wie von mir beschrieben recht einfach. So kann man bestens nach und nach iptables rules und funktion kennenlernen.
 
OP
captain nemo

captain nemo

Member
wenf schrieb:
was ich von deinem script -halte:

# ports/protokolle nur fuers surfen.
iptables -A FORWARD -p tcp --sport 80 --dport 80 -j ACCEPT;
iptables -A FORWARD -p udp --sport 80 --dport 80 -j ACCEPT;

das ist nicht was du willst *gg*
sport ist 1024-65355 dann stimmts
bei beiden protokollen oder nur bei einem? wo kann ich denn infos ueber solche "wirren" verbindungsablaeufe herbekommen?
aktives ftp wuerde aber laufen mit den regeln oder?
 

wenf

Hacker
nein es würde mit aktivem und passivem FTP nicht einmal der Contol-Kanal funktionieren - und auch keine Datendurchkommen


Das mit den "wirren" Verbindungen ist eigentlich ganz einfach....
also definierte ports sind von 1 bis 1024 (siehe /etc/services)

der von mir so oft als HighPort- Bereich ist von 1024 bis 65535

beinahe jede kommunikation einer Client -Server architektur basiert auf folgenden Regeln:
Der Client sucht sich einen derzeit nicht benützten post aus den Highport - Bereich:
Nun Sendet der Client eine Anfrage von seiner IP-Adresse und diesem genannten Highport an die IP-Adresse des Servers an den "definierten" Port des Dienstes (80 beim http protokoll)
Der Server sendet die Antwort vom definierten Port (80) mit seiner IP-Adresse an die IP-Adresse des Clienten an den Port, von welchem die Anfrage kommt.

Beispiel:

Client sendet Anfrage an den Server (google.com)
195.3.96.7:3845 -> 216.239.39.99:80
Der Server antwortet :
216.239.39.99:80 -> 195.3.96.7:3845

es gibt jedoch einige Protokolle, welche sich nicht an dieses schema halten
z.B. alle Programme die Client und Server (im herkömmlichen Sinn) in einem Programm sind - SAMBA
Alle Tauschböresenprogramme
da sind 3 Komponenten zu bedienen
Beispiel:
1.) PC = Client zu Esel-Server
2.) PC = Client zu anderem PC (Freigabe=Serverfunktion)
3.) PC = Server (Freigabe) für Client (anderer PC)
FTP ist wieder ein Sonderfall, worüber schon ganze kapitel geschrieben wurden
 
Oben