-
Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.
wir lernen routing mit iptables
- Ersteller captain nemo
- Erstellt am
wenf
Hacker
was ich von deinem script -halte:
# ports/protokolle nur fuers surfen.
iptables -A FORWARD -p tcp --sport 80 --dport 80 -j ACCEPT;
iptables -A FORWARD -p udp --sport 80 --dport 80 -j ACCEPT;
das ist nicht was du willst *gg*
sport ist 1024-65355 dann stimmts
# ports/protokolle nur fuer ftp.
iptables -A FORWARD -p tcp --sport 20 --dport 20 -j ACCEPT;
iptables -A FORWARD -p udp --sport 20 --dport 20 -j ACCEPT;
iptables -A FORWARD -p tcp --sport 21 --dport 21 -j ACCEPT;
iptables -A FORWARD -p udp --sport 21 --dport 21 -j ACCEPT;
lasse FTP mal weg - das ist alles andere als einfach *gg*
passives ftp hat andere Verbindungen als aktives FTP
versuche zuerst mal einfache protokolle wie http zu verstehen,
wenn du das kannst gehen wir in die Advanced klasse ALIAS FTP
# ports/protokolle nur fuers surfen.
iptables -A FORWARD -p tcp --sport 80 --dport 80 -j ACCEPT;
iptables -A FORWARD -p udp --sport 80 --dport 80 -j ACCEPT;
das ist nicht was du willst *gg*
sport ist 1024-65355 dann stimmts
# ports/protokolle nur fuer ftp.
iptables -A FORWARD -p tcp --sport 20 --dport 20 -j ACCEPT;
iptables -A FORWARD -p udp --sport 20 --dport 20 -j ACCEPT;
iptables -A FORWARD -p tcp --sport 21 --dport 21 -j ACCEPT;
iptables -A FORWARD -p udp --sport 21 --dport 21 -j ACCEPT;
lasse FTP mal weg - das ist alles andere als einfach *gg*
passives ftp hat andere Verbindungen als aktives FTP
versuche zuerst mal einfache protokolle wie http zu verstehen,
wenn du das kannst gehen wir in die Advanced klasse ALIAS FTP
An meinem Router/Firewall sitzen 3 NICs. Eines ist das Internet NIC, eines zu meinem HomeNW und eines zu meinem Accesspoint.
HomeNW & IN habe ich mit SuSEFW konfiguriert.
Dann gibt es noch einen Exit in /etc/sysconfig/scripts/SuSEconfig oder so aehnlich. Dort habe ich dier AP rules reingestellt als Extension und alles funtz prima.
Also SuSEWF fuer das komplizierte und SuSEconfig fuer die einfachen Faelle.
HomeNW & IN habe ich mit SuSEFW konfiguriert.
Dann gibt es noch einen Exit in /etc/sysconfig/scripts/SuSEconfig oder so aehnlich. Dort habe ich dier AP rules reingestellt als Extension und alles funtz prima.
Also SuSEWF fuer das komplizierte und SuSEconfig fuer die einfachen Faelle.
OP
captain nemo
Member
@framp ist ja alles schoen und gut aber wir wollen uns einfach mal mit iptables beschaeftigen und dabei gleich noch was lernen/anderen ne grundlage zum lernen geben.
OP
captain nemo
Member
bei beiden protokollen oder nur bei einem? wo kann ich denn infos ueber solche "wirren" verbindungsablaeufe herbekommen?wenf schrieb:
aktives ftp wuerde aber laufen mit den regeln oder?
wenf
Hacker
nein es würde mit aktivem und passivem FTP nicht einmal der Contol-Kanal funktionieren - und auch keine Datendurchkommen
Das mit den "wirren" Verbindungen ist eigentlich ganz einfach....
also definierte ports sind von 1 bis 1024 (siehe /etc/services)
der von mir so oft als HighPort- Bereich ist von 1024 bis 65535
beinahe jede kommunikation einer Client -Server architektur basiert auf folgenden Regeln:
Der Client sucht sich einen derzeit nicht benützten post aus den Highport - Bereich:
Nun Sendet der Client eine Anfrage von seiner IP-Adresse und diesem genannten Highport an die IP-Adresse des Servers an den "definierten" Port des Dienstes (80 beim http protokoll)
Der Server sendet die Antwort vom definierten Port (80) mit seiner IP-Adresse an die IP-Adresse des Clienten an den Port, von welchem die Anfrage kommt.
Beispiel:
Client sendet Anfrage an den Server (google.com)
195.3.96.7:3845 -> 216.239.39.99:80
Der Server antwortet :
216.239.39.99:80 -> 195.3.96.7:3845
es gibt jedoch einige Protokolle, welche sich nicht an dieses schema halten
z.B. alle Programme die Client und Server (im herkömmlichen Sinn) in einem Programm sind - SAMBA
Alle Tauschböresenprogramme
da sind 3 Komponenten zu bedienen
Beispiel:
1.) PC = Client zu Esel-Server
2.) PC = Client zu anderem PC (Freigabe=Serverfunktion)
3.) PC = Server (Freigabe) für Client (anderer PC)
FTP ist wieder ein Sonderfall, worüber schon ganze kapitel geschrieben wurden
Das mit den "wirren" Verbindungen ist eigentlich ganz einfach....
also definierte ports sind von 1 bis 1024 (siehe /etc/services)
der von mir so oft als HighPort- Bereich ist von 1024 bis 65535
beinahe jede kommunikation einer Client -Server architektur basiert auf folgenden Regeln:
Der Client sucht sich einen derzeit nicht benützten post aus den Highport - Bereich:
Nun Sendet der Client eine Anfrage von seiner IP-Adresse und diesem genannten Highport an die IP-Adresse des Servers an den "definierten" Port des Dienstes (80 beim http protokoll)
Der Server sendet die Antwort vom definierten Port (80) mit seiner IP-Adresse an die IP-Adresse des Clienten an den Port, von welchem die Anfrage kommt.
Beispiel:
Client sendet Anfrage an den Server (google.com)
195.3.96.7:3845 -> 216.239.39.99:80
Der Server antwortet :
216.239.39.99:80 -> 195.3.96.7:3845
es gibt jedoch einige Protokolle, welche sich nicht an dieses schema halten
z.B. alle Programme die Client und Server (im herkömmlichen Sinn) in einem Programm sind - SAMBA
Alle Tauschböresenprogramme
da sind 3 Komponenten zu bedienen
Beispiel:
1.) PC = Client zu Esel-Server
2.) PC = Client zu anderem PC (Freigabe=Serverfunktion)
3.) PC = Server (Freigabe) für Client (anderer PC)
FTP ist wieder ein Sonderfall, worüber schon ganze kapitel geschrieben wurden