Ankündigung

Einklappen
Keine Ankündigung bisher.

ipchains

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • ipchains

    hy,
    habe eine frage zum verständnis zu ipchains.
    ist es nicht so, dass alles was ich verbiete oberste priorität hat, so dass meine folgenden regeln garnicht mehr bechtet werden? erst verbieten, dann erlauben??? nicht umgekehrt? erst erlauben, dann den erst verbieten? hoffe, meine frage ist verständlich ausgedrückt.

    gruss Uta


    verstehe folgenden eintrag nicht:

    #Jetzt wird erstmal alles geblockt:

    ipchains -F
    ipchains -X
    ipchains -P input DENY
    ipchains -P output DENY
    ipchains -P forward DENY

    #Als nächstes den LAN-Verkehr erlauben:

    ipchains -A input -s $net1 -j ACCEPT
    ipchains -A output -d $net1 -j ACCEPT
    ipchains -A input -s $net2 -j ACCEPT
    ipchains -A output -d $net2 -j ACCEPT
    ipchains -A input -s $net3 -j ACCEPT
    ipchains -A output -d $net3 -j ACCEPT
    ipchains -A forward -s $net1 -d $net2 -j ACCEPT
    ipchains -A forward -s $net2 -d $net1 -j ACCEPT

  • #2
    Re: ipchains

    Original geschrieben von Ryanika
    hy,
    habe eine frage zum verständnis zu ipchains.
    ist es nicht so, dass alles was ich verbiete oberste priorität hat, so dass meine folgenden regeln garnicht mehr bechtet werden? erst verbieten, dann erlauben??? nicht umgekehrt? erst erlauben, dann den erst verbieten? hoffe, meine frage ist verständlich ausgedrückt.
    Huhu Ryanika,

    ich versuche gerade mal, mich an meine ipcahains-Zeit zu erinnern...ist zwar schon ein Weilchen her (und heute macht man das IMHO mit iptables) aber mal sehen:
    Es sollte eigentlich so sein, dass alles verboten ist, was nicht explizit erlaubt ist.
    Habe mir gerade mal unsere ipchains Konfiguration (RedHat) von früher angesehen. Da standen auch mehrere DENYs auf eth0 und eth1 mit den jeweiligen Netzwerken drin (keine Reihenfolge von oben nach unten) und aber auch ACCEPTs für bestimmte Ports.
    Mit ipmasqadm wurden dann die externen IP/Ports auf interne Server geroutet, aber das ist glaube ich nicht mehr Dein Thema.

    Was verstehst Du denn an dem von Dir geposteten Beispiel nicht?
    Hast Du das live ausprobiert und nichts geht?

    Lieben Gruß
    Dieter
    Dieter Rauscher
    MVP ISA Server
    Website:
    Blog:
    Buch:

    Kommentar


    • #3
      Mit -P stellst du die allgemeingültige Policy auf, d.h. bei "Deny" wird alles verboten, was nicht explizit erlaubt wird.
      Stellst du hier ein "Accept" ein, dann wird prinzipiell alles angenommen, was nicht durch nachfolgende Regeln verboten wird.

      Im übrigen werden die ipchains "in order of appearance" abgearbeitet, also ein

      ipchains -P xxx DENY
      ipchains -A blablubber ACCEPT
      ipchains -A selbesblablubber DENY

      ergibt in Summe ein "ACCEPT", während ein

      ipchains -P xxx DENY
      ipchains -A blablubber DENY
      ipchains -A selbesblablubber ACCEPT

      in Summe ein "DENY" ergibt.

      Will man ein Regel, die man weiter hinten im Script tippt vornanstellen, muss man statt APPEND (-A) ein INSERT (-I) benutzen.
      CU
      Thomas

      MCP
      70-210, 70-215, 70-218
      Next -> 70-216

      Mit 8 bit kann ich noch arbeiten... aber mit 32 bit bin ich blau

      Kommentar


      • #4
        @ Dieter

        ja, eigentlich arbeitet man inzwischen mit iptables. die software, die ich nutze ist aber schon ein wenig älter und arbeitet noch mit ipchains. ausprobiert habe ich es noch nicht, arbeite mich grad ein und habe falschrum gedacht dachte verbote stehen ganz und gar über berechtigungen.
        danke für deine antwort :-)

        @pc-bastler

        danke fürs erklären - habs begriffen :-)

        Kommentar


        • #5
          Original geschrieben von Ryanika
          ja, eigentlich arbeitet man inzwischen mit iptables.
          Ich bin mir da nie so sicher.......deshalb....
          die software, die ich nutze ist aber schon ein wenig älter und arbeitet noch mit ipchains.
          Macht ja nichts. Deswegen sind ipchains ja nicht schlechter...

          Viele Grüße
          Dieter
          Dieter Rauscher
          MVP ISA Server
          Website:
          Blog:
          Buch:

          Kommentar

          Lädt...
          X