iptables-Anfängerfrage

16/04/2011 - 09:42 von Lewin Bormann | Report spam
Hallo,
ich habe mich gerade ein wenig in iptables eingearbeitet und eine Frage
bezüglich der voreingestellten INPUT-Kette in meinem openSuse-System,
welche so aussieht:

Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ctstate
ESTABLISHED
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 ctstate
RELATED
input_ext all -- 0.0.0.0/0 0.0.0.0/0
input_ext all -- 0.0.0.0/0 0.0.0.0/0
input_ext all -- 0.0.0.0/0 0.0.0.0/0
LOG all -- 0.0.0.0/0 0.0.0.0/0 limit: avg
3/min burst 5 LOG flags 6 level 4 prefix `SFW2-IN-ILL-TARGET '
DROP all -- 0.0.0.0/0 0.0.0.0/0

Die erste Zeile akzeptiert doch dann schon alle Pakete, ohne irgendwas
zu machen, oder? Und wieso sind dann noch andere Regeln in der Kette danach?

Danke,
LB
Für persönlichen Kontakt bitte <news~lewin-bormann.de> (~ = at)
openSuSE 11.4 x86_64; KDE 4.6; Linux 2.6.37-desktop/-default; 4,0 GB RAM
(1066MHz); Intel Core i5-460M (2,53 GHz);
 

Lesen sie die antworten

#1 Sven Hartge
16/04/2011 - 13:12 | Warnen spam
Lewin Bormann wrote:

ich habe mich gerade ein wenig in iptables eingearbeitet und eine
Frage bezüglich der voreingestellten INPUT-Kette in meinem
openSuse-System, welche so aussieht:

Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ctstate ESTABLISHED
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 ctstate RELATED
input_ext all -- 0.0.0.0/0 0.0.0.0/0
input_ext all -- 0.0.0.0/0 0.0.0.0/0
input_ext all -- 0.0.0.0/0 0.0.0.0/0
LOG all -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-IN-ILL-TARGET '
DROP all -- 0.0.0.0/0 0.0.0.0/0

Die erste Zeile akzeptiert doch dann schon alle Pakete, ohne irgendwas
zu machen, oder? Und wieso sind dann noch andere Regeln in der Kette danach?



Du solltest "iptables -v -L" aufrufen. Ohne "-v" hast du nicht alle
Informationen in der Ausgabe, um zu beurteilen, wie es funktioniert.
Z.B. fehlt in der obiger Ausgabe die Angabe des Interfaces und des
Outerfaces.

Vermutlich ist das eine Regel, bei der beides aus "lo" steht, also alle
Pakete, die lo nach lo gehen erlaubt.



Sigmentation fault. Core dumped.

Ähnliche fragen