Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Reihenfolge bei iptables

215 views
Skip to first unread message

Hilko Janssen

unread,
May 30, 2003, 5:18:29 AM5/30/03
to
Hallo,
nachdem ich mir das manual und die FAQ zu iptables durchgelesen habe,
ist mit leider immer noch nicht klar, wie das mit der Reihenfolge der
Regeln läuft. Ein Beispiel:
Wenn ich zB erstmal alles mit iptables als default-Wert DROP´pe und dann
einzelne Port freigebe, zB einen Port-Bereich (1024: ) und dann
innerhalb dieses Port-Bereichs einen Port (zB 6667) wieder sperren will,
muss ich dann DANACH an die Regeln, die den Bereich freigibt (1024:),
die Regel mit -A anhängen, die den einzelnen Port wieder sperrt oder
davor oder mit -I ersetzen oder den Port mit -D wieder löschen?
Vielleicht kann ja jemand etwas Licht in meine Verwirrung bringen ;-)
Danke, Hilko

Johannes Bretscher

unread,
May 30, 2003, 5:43:24 AM5/30/03
to
Hilko Janssen <Hilko....@web.de> wrote:
>Hallo,
>nachdem ich mir das manual und die FAQ zu iptables durchgelesen habe,
>ist mit leider immer noch nicht klar, wie das mit der Reihenfolge der
>Regeln läuft. Ein Beispiel:

Von oben nach unten, bis eine passende terminale Regel gefunden wird.

>Wenn ich zB erstmal alles mit iptables als default-Wert DROP´pe und dann

Default als Policy (mit -P)? die Defaultpolicy wird zum Schluß
abgearbeitet.

>einzelne Port freigebe, zB einen Port-Bereich (1024: ) und dann
>innerhalb dieses Port-Bereichs einen Port (zB 6667) wieder sperren will,
>muss ich dann DANACH an die Regeln, die den Bereich freigibt (1024:),
>die Regel mit -A anhängen, die den einzelnen Port wieder sperrt oder

Hier schreibst Du zuerst die Regeln für den kleineren Bereich, dann die
für den umgebenden größeren (Da der kleinere sonst gar nicht mehr
erreicht wird.)

>Danke, Hilko
>

HTH
Johannes

--
The more we disagree, the more chance there is that at least one of us
is right.

armin walland

unread,
May 30, 2003, 6:40:43 AM5/30/03
to
Hilko Janssen <Hilko....@web.de> wrote:
> Hallo,
> nachdem ich mir das manual und die FAQ zu iptables durchgelesen habe,
> ist mit leider immer noch nicht klar, wie das mit der Reihenfolge der
> Regeln läuft. Ein Beispiel:
> Wenn ich zB erstmal alles mit iptables als default-Wert DROPŽpe und dann
> einzelne Port freigebe, zB einen Port-Bereich (1024: ) und dann

IIRC wenn du ERST alles DROPst und dann was freigibst passiert garnichts,
weil die erste matchende regel zur ausführung kommt, d.h. es wird alles
geDROPt und die weiteren regeln kommen nicht zur ausführung.

> innerhalb dieses Port-Bereichs einen Port (zB 6667) wieder sperren will,
> muss ich dann DANACH an die Regeln, die den Bereich freigibt (1024:),
> die Regel mit -A anhängen, die den einzelnen Port wieder sperrt oder
> davor oder mit -I ersetzen oder den Port mit -D wieder löschen?
> Vielleicht kann ja jemand etwas Licht in meine Verwirrung bringen ;-)

mein ansatz wäre sowas ähnliches (nicht ausprobiert)

$IPTABLES -A INPUT -i $EXTIF -p tcp --dport 6667 -j REJECT --reject-with tcp-reset
$IPTABLES -A INPUT -i $EXTIF -p tcp --dport 1024:65535 -j ACCEPT
$IPTABLES -A INPUT -i $EXTIF -p tcp -j REJECT --reject-with tcp-reset

ich lass mich gerne korrigieren, bin selbst kein iptables guru.

hth, armin

--

life, the universe and everything
http://www.dtch.org

Hilko Janssen

unread,
May 30, 2003, 7:09:58 AM5/30/03
to
armin walland wrote:

> IIRC wenn du ERST alles DROPst und dann was freigibst passiert garnichts,

> weil die erste matchende regel zur ausf?hrung kommt, d.h. es wird alles
> geDROPt und die weiteren regeln kommen nicht zur ausf?hrung.

Danke für die Antworten!

Also was mich bei Deiner Aussage etwas verwirrt ist, dass man ja auch
eine einmal gesetzte Regel wieder mit -D löschen kann oder mit -I
"überschreiben" kann und das mach ja nur Sinn, wenn man vorher schon
eine Regel hatte, die man aufhebt.
Aber ich meinte eh die -P policy, die ja - wie Johannes mir sagte - erst
zum Schluss ausgeführt wird.

Gruß, Hilko

armin walland

unread,
May 30, 2003, 7:25:34 AM5/30/03
to
Hilko Janssen <Hilko....@web.de> wrote:
> armin walland wrote:
>
>> IIRC wenn du ERST alles DROPst und dann was freigibst passiert garnichts,
>> weil die erste matchende regel zur ausf?hrung kommt, d.h. es wird alles
>> geDROPt und die weiteren regeln kommen nicht zur ausf?hrung.
>
> Danke für die Antworten!
>
> Also was mich bei Deiner Aussage etwas verwirrt ist, dass man ja auch
> eine einmal gesetzte Regel wieder mit -D löschen kann oder mit -I
> "überschreiben" kann und das mach ja nur Sinn, wenn man vorher schon
> eine Regel hatte, die man aufhebt.

hmm, vielleicht misverstehe ich dich da, aber sprichst du von der
erstellung eines firewallscriptes oder möchtest du im laufenden betrieb
die rules immer wieder ändern?
in einem skript macht es wenig sinn, eine regel zu erstellen um sie
später wieder zu löschen :)

> Aber ich meinte eh die -P policy, die ja - wie Johannes mir sagte - erst
> zum Schluss ausgeführt wird.

achso, sorry

Michael Andresen

unread,
May 30, 2003, 11:50:42 AM5/30/03
to
Hilko Janssen skrev:

> Hallo,
> nachdem ich mir das manual und die FAQ zu iptables durchgelesen habe,
> ist mit leider immer noch nicht klar, wie das mit der Reihenfolge der
> Regeln läuft. Ein Beispiel:

afaik ist es so, dass die Regeln in der Reihenfolge gelten, in der sie
erscheinen; eine "Freigabe-Regel" nach einer Sperrregel fuer den selben
Port wird also nie gueltig (innerhalb einer Chain).
Als letztes nach der Abarbeitung aller Regeln greift die Policy.

> Wenn ich zB erstmal alles mit iptables als default-Wert DROP´pe und dann
> einzelne Port freigebe, zB einen Port-Bereich (1024: ) und dann
> innerhalb dieses Port-Bereichs einen Port (zB 6667) wieder sperren will,
> muss ich dann DANACH an die Regeln, die den Bereich freigibt (1024:),
> die Regel mit -A anhängen, die den einzelnen Port wieder sperrt

Genau. Vorausgesetzt mit default meinst Du eine Policy.

//M
--
Emacs is for people who desperately want to get drunk, but feel guilty
doing so without a reason.
http://www.rru.com/~meo/rants/emacs.html

Michael Andresen

unread,
May 30, 2003, 2:55:40 PM5/30/03
to
Michael Andresen skrev:

> Hilko Janssen skrev:
>> Hallo,
>> nachdem ich mir das manual und die FAQ zu iptables durchgelesen habe,
>> ist mit leider immer noch nicht klar, wie das mit der Reihenfolge der
>> Regeln läuft. Ein Beispiel:
>
> afaik ist es so, dass die Regeln in der Reihenfolge gelten, in der sie
> erscheinen; eine "Freigabe-Regel" nach einer Sperrregel fuer den selben
> Port wird also nie gueltig (innerhalb einer Chain).
> Als letztes nach der Abarbeitung aller Regeln greift die Policy.
>
>> Wenn ich zB erstmal alles mit iptables als default-Wert DROP´pe und dann
>> einzelne Port freigebe, zB einen Port-Bereich (1024: ) und dann
>> innerhalb dieses Port-Bereichs einen Port (zB 6667) wieder sperren will,
>> muss ich dann DANACH an die Regeln, die den Bereich freigibt (1024:),
>> die Regel mit -A anhängen, die den einzelnen Port wieder sperrt
>
> Genau. Vorausgesetzt mit default meinst Du eine Policy.

Nein, falsch. Umgekehrt: erst den einzelnen Port sperren, dann den
Bereich oeffnen.
Zum Canceln ist es jetzt wohl zu spaet, daher Korrektur.

0 new messages