hy,
habe eine frage zum verständnis zu ipchains.
ist es nicht so, dass alles was ich verbiete oberste priorität hat, so dass meine folgenden regeln garnicht mehr bechtet werden? erst verbieten, dann erlauben??? nicht umgekehrt? erst erlauben, dann den erst verbieten? hoffe, meine frage ist verständlich ausgedrückt.

gruss Uta


verstehe folgenden eintrag nicht:

#Jetzt wird erstmal alles geblockt:

ipchains -F
ipchains -X
ipchains -P input DENY
ipchains -P output DENY
ipchains -P forward DENY

#Als nächstes den LAN-Verkehr erlauben:

ipchains -A input -s $net1 -j ACCEPT
ipchains -A output -d $net1 -j ACCEPT
ipchains -A input -s $net2 -j ACCEPT
ipchains -A output -d $net2 -j ACCEPT
ipchains -A input -s $net3 -j ACCEPT
ipchains -A output -d $net3 -j ACCEPT
ipchains -A forward -s $net1 -d $net2 -j ACCEPT
ipchains -A forward -s $net2 -d $net1 -j ACCEPT

Huhu Ryanika,

ich versuche gerade mal, mich an meine ipcahains-Zeit zu erinnern...ist zwar schon ein Weilchen her (und heute macht man das IMHO mit iptables) aber mal sehen:
Es sollte eigentlich so sein, dass alles verboten ist, was nicht explizit erlaubt ist.
Habe mir gerade mal unsere ipchains Konfiguration (RedHat) von früher angesehen. Da standen auch mehrere DENYs auf eth0 und eth1 mit den jeweiligen Netzwerken drin (keine Reihenfolge von oben nach unten) und aber auch ACCEPTs für bestimmte Ports.
Mit ipmasqadm wurden dann die externen IP/Ports auf interne Server geroutet, aber das ist glaube ich nicht mehr Dein Thema.

Was verstehst Du denn an dem von Dir geposteten Beispiel nicht?
Hast Du das live ausprobiert und nichts geht?

Lieben Gruß
Dieter

Mit -P stellst du die allgemeingültige Policy auf, d.h. bei "Deny" wird alles verboten, was nicht explizit erlaubt wird.
Stellst du hier ein "Accept" ein, dann wird prinzipiell alles angenommen, was nicht durch nachfolgende Regeln verboten wird.

Im übrigen werden die ipchains "in order of appearance" abgearbeitet, also ein

ipchains -P xxx DENY
ipchains -A blablubber ACCEPT
ipchains -A selbesblablubber DENY

ergibt in Summe ein "ACCEPT", während ein

ipchains -P xxx DENY
ipchains -A blablubber DENY
ipchains -A selbesblablubber ACCEPT

in Summe ein "DENY" ergibt.

Will man ein Regel, die man weiter hinten im Script tippt vornanstellen, muss man statt APPEND (-A) ein INSERT (-I) benutzen.

@ Dieter

ja, eigentlich arbeitet man inzwischen mit iptables. die software, die ich nutze ist aber schon ein wenig älter und arbeitet noch mit ipchains. ausprobiert habe ich es noch nicht, arbeite mich grad ein und habe falschrum gedacht dachte verbote stehen ganz und gar über berechtigungen.
danke für deine antwort :-)

@pc-bastler

danke fürs erklären - habs begriffen :-)

Ich bin mir da nie so sicher.......deshalb....

Zitat:

die software, die ich nutze ist aber schon ein wenig älter und arbeitet noch mit ipchains.

Macht ja nichts. Deswegen sind ipchains ja nicht schlechter...

Viele Grüße
Dieter